Un paio di reindirizzamenti dopo aver fatto clic su un link, cosa stanno cercando?

Naviga le tue risposte
5

Ho ricevuto un'e-mail di massa da un amico che contiene solo questo link (reso non cliccabile di proposito): 

http://www.casadelapiedra.com/components/com_content/id876757355.php

Immagino che lei abbia una specie di virus, ma dal momento che sono curioso e non molto attento, ho cliccato su.

Il PHP che è stato caricato mi ha reindirizzato a un altro sito.

Pagina PHP:

<h1> You are here because one of your friends <br> have invited you.<br> Page loading, please wait.... </h1> <meta http-equiv="refresh" content="0; url=http://newsmarketgenonline10go.eu/?12/2">

L'altro sito a sua volta ha assegnato un "302 temporaneamente spostato" e reindirizzato a Google.

Whois non rivela nulla sul dominio, scavando sul MX mostra che usano un DNS dinamico. Non ho ricevuto ulteriori informazioni sul record A, oltre che dalla Lettonia: ns1.altnet.lv. admin.altnet.lv

Cosa potrebbero essere dopo? Conferma degli indirizzi email?

    
posta Cleber Goncalves 01.02.2013 - 14:13
fonte

1 risposta

4

Il primo link utilizza una pagina Web di reindirizzamento rilevata da molti prodotti antivirus come:

  • Sophos: Troj / Redir-O
  • Microsoft: Trojan: HTML / BlacoleRef.A
  • Kaspersky: Trojan.HTML.Redirector.an
  • AntiVir: HTML / FriendLoad.A

Il testo <h1> You are here because one of your friends <br> have invited you.<br> Page loading, please wait.... è la cosa che viene rilevata, quindi è stato probabilmente utilizzato in precedenza in una campagna di malware o spam per reindirizzare a siti Web diversi.

Un'analisi di un redirector più vecchio ma simile è qui .

[...] will redirect you to the following website that masquerades as a CNBC website article, For example:

  • marketnewsonline10.com
  • marketnewsonline11.com
  • marketnewsnext7online.com

Il sito a cui reindirizza, http://newsmarketgenonline10go.eu viene rilevato da Websense ThreatSeeker come sito di phishing .

Anche altri domini simili utilizzati nella stessa campagna vengono rilevati come phishing:

  • Phishtank: sito di phishing
  • Ispettore sito Comodo: sito di phishing
  • Websense ThreatSeeker: sito di phishing

Questo mi sembra una campagna di phishing abbandonata.

    
risposta data 01.02.2013 - 14:36
fonte

Leggi altre domande sui tag

È possibile condividere le chiavi di decrittografia di BitLocker tra più TPM? Protezione degli hash delle password con stored procedure?