Vi har observeret en bølge af spammails ramme danske, men også andre vilkårlige indbakker.
Den pågældende uønskede e-mail foregiver at komme fra Facebook, men peger på flere kompromitterede maskiner/servere der leverer et script der flytter brugeren videre til flere domæner hvorfra der tilbydes yderst tvivlsomme medicinal produkter.
Den uønskede Facebook spammail ankommer med følgende indhold:
Det inkluderede link peger, som tidligere nævnt på en kompromitteret maskine/server som leverer nedenstående obfuserede javascript:
Det deobfuskerede indhold afslører at javascriptet flytter brugeren til domænet: thewelnesshealthcare.com som fastfluxer. Det betyder at flere IP adresser er i spil, som gengivet herunder:
91.218.125.233 - Netherlands Amsterdam Serveo
85.195.72.243 - Hanau Am Main Velia.net
185.16.37.118 - Poland Skytechnology Sp. Z O.o.
178.19.107.91 - Poland Tarnowskie Gory Sitel
188.132.207.163 - Turkey Istanbul Hosting Internet
193.218.154.106 - Poland Gdynia Superhost.pl
212.83.186.116 - France Lyon Online
Serverne kan relateres direkte til massevis af domæner, hvorfra der distribueres tvivlsom medicinal produkter som man bør undgå.
Et lille udsnit af uønskede domæner findes herunder:
levitrapesq.com
bg.levitrapesq.com
salewelloch.com
cialisdoctor.com
nursingpharm.com
thelovenight.com
canadavasomax.com
healthviagras.com
medicarehertz.com
theherbalmeds.com
enternightlove.com
medwelmedifast.com
ranksaleviagra.com
thelevitrapill.com
thetabgenerics.com
healthtabmental.com
medicareviagras.com
mail.medicareviagras.com
pharmacycaution.com
alec.secur.pharmacycaution.com
salesmartphones.com
tabletdietpills.com
thedietpharmacy.com
theprivatelines.com
cialisrxerectile.com
lossdietpharmacy.com
dietpillsgenerics.com
genericstableteva.com
afford.some.genericstableteva.com
badoo.pharmherbalhealth.com
thegenericsviagra.com
welnesshealthcare.com
toronto.rx.welnesshealthcare.com
welnesshealthcare.com
sunny.welnesshealthcare.com
mastersdegreepharm.com
levitratabkorsinsky.com
viagralevifiduciary.com
mail.viagralevifiduciary.com
thewelnesshealthcare.com
welnessasaletraining.com
rxhealthcarehealthcare.com
drugstoreviagrapharmacy.com
prescriptionmedicinehcg.com
pillmedicineprescription.com
medicinewelnessveterinary.com
prescriptionhealthcaution.com
healthcarepharmacypharmacists.com
healthcarepharmpharmaceutical.com
addi.hghmedpharm.net
saleswelness.net
ryanairemedies.net
mail.ryanairemedies.net
thepharmherbal.net
rxmedicinegroup.net
[..]
Ovenstående er et lille udsnit af ca. 1700 domæner som er knyttet til denne lyssky forretning.
Vi har naturligvis blokeret alle disse domæner i CSIS Secure DNS, men en anden løsning er at filtre trafik til de føromtalte IP adresser i sin perimeter.
CSIS anbefaler, at man holder sig langt væk fra denne slags markedsføring og ikke mindst tvivlsomme produkter. Dels kan kvaliteten og lovligheden af præparaterne ikke bekræftes og dels vil kreditkort oplysninger i forbindelse med betalingen, havne i forkerte hænder med risiko for misbrug.
↧
CSIS Blog: Facebook spam og tvivlsomme medicinal produkter
↧