I den forløbne uge er vores honeypot blevet fyldt op med attraktive jobtilbud:
Svar bedes sendes til [navn]@google-consulting.com.
Hvis vi kigger nærmere på dette domænenavn, afsløres lidt spændende info. Google-consulting bruger nemlig navneserverne:
ns1.poker-roomz.com
ns2.poker-roomz.com
Det pågældende domæne er registreret med mailadressen boykintool @ aol.com. Denne mail adresse er spændende og interessant på samme tid. Med en simpel Google søgning kan den e-mail adresse nemlig knyttes direkte til spamkampagner, hvor it-kriminelle forsøger at inficere vilkårlige maskiner med en informationstyv i ZeuS klassen. Denne type malware ser vi hyppigt indsamle kreditkort oplysninger, som så misbruges til at købe varer bl.a. i danske eHandel butikker. Det er således nærliggende at konkludere, at personerne bag disse spamkampagner høster kreditkort oplysninger, misbruger disse og køber varer for så at flytte varerne videre til pakke- eller penge muldyr som rekrutteres via disse kampagner.
I tidligere kampagner er følgende domæner blevet anvendt:
apple-euro.com
firsteuro-consulting.com
myjobbg.com
jobseuropenet.com
euroconsaltinn.com
ZeuS forbindelsen
Vores ven og blogger Dancho Danchev rapporterede tilbage i marts i en artikel om mails der foregav at være fra et pakkepost firma ”ADP” med en meddelelse om en pakke til aflevering. I stedet for en pakke, bliver det uheldige offer beskudt med ammunition fra det berygtede exploitkit ”Black Hole”.
At de aktive navneservere peger på IP adressen 67.159.12.94 kan vi ligeledes koble direkte med ZeuS:
http://blog.dynamoo.com/2013/06/malware-sites-to-block-12613.html
https://zeustracker.abuse.ch/monitor.php?host=ebayweekdeal.com
Meget tyder på, at det er lykkedes bagmændene at genne tilpas mange uheldige ofre ind i folden, som nu skal malkes i stor stil.
Vi fraråder alle at svare på disse spammails. Læs også vores artikel om muldyr og hvilken risiko du løber hvis du lader dig lokke.