Networkforensic

Threat hunting

Nets SMS phishing i omløb.

 09 - Februar 2019  - Blog Post # 716

NETS SMS phishing
Denne gang lidt NETS SMS phishing fra et misbrugt TDC ejet domæne placeret i Frankrig. Denne gang er der faktisk noget som Politiet og TDC-CERT kan gå efter nemlig afsender hosten. Det misbrugte domæne esenet[.]dk er noget som Yousee lader til at eje, men der er bare ikke styr på det og slet ikke deres SPF og hvad laver IP adressen i Frankrig ?

Jeg spottede det i går og allerede her til morgen var der lavet ændringer i deres kode, så jeg antager at dem bag er yderst aktive netop nu som jeg skriver her.

SMS delen er taget ned her til morgen (lader det til)
Det lader til at SMS delen er taget ned dog skal man ikke lade sig snyde af det. Det kan sagtens være at bagmændene bare har lagt en anden side op. Men sådan så det ud. 

LIdt mere at gå efter
Denne url optræder ikke nogen steder i selv angrebet. Men den findes.

IOC'er
Gratis IOC'er  til den danske befolkning så de kan være advaret og beskyttet.

Til Politiet og TDC-SOC
Original afsender host - mwumf0305[.]yousee[.]as8677[.]net IP 10[.]26[.]226[.]131
Den er vigtig at jagte........Den giver næste hop.

Sender IP
outgoing-yousee-3.gl-mut-gbl.as8677.net - 193[.]201[.]76[.]63
From:
NETS EPAY Support <falouxs@esenet.dk>
Subject:
Faktura! 02-08-2019
Klik domæne med rederigering
serwer1955191[.]home[.]pl -  IP 46[.]242[.]238[.]209 (Stadig aktiv og her sker der ændringer)
Rediregeret til
http://ananajri[.]com/dk/erk/dk

TDC ejet domæne
esenet[.]dk
SPF - v=spf1 include:mail.dk
PTR - smtp-in-yousee[.]gl-mut-gb[.].as8677[.]net - 193[.]201[.]76[.]57
MX IP - 193[.]201[.]76[.]57
HOST name - fpo9[.]mail[.]dk

 NF IDS Rules
5 Latest Updates  

PDFEscape

Monerohash

Known Recon

Community Rules

RDP Handshake

Download