Un par de redirecciones después de hacer clic en un enlace, ¿qué buscan después?

Navega tus respuestas
5

Recibí un correo electrónico masivo de un amigo que solo contiene este enlace (no se puede hacer a propósito): 

http://www.casadelapiedra.com/components/com_content/id876757355.php

Me imagino que tiene algún tipo de virus, pero como tengo curiosidad y no tengo mucho cuidado, hice clic.

El PHP que se cargó me redirigió a otro sitio.

página PHP:

<h1> You are here because one of your friends <br> have invited you.<br> Page loading, please wait.... </h1> <meta http-equiv="refresh" content="0; url=http://newsmarketgenonline10go.eu/?12/2">

Ese otro sitio, a su vez, dio un '302 movido temporalmente' y me redirigió a Google.

Whois no revela nada sobre el dominio, la excavación en el MX muestra que usan un DNS dinámico. No se obtuvo información adicional en el registro A, además de que proviene de Letonia: ns1.altnet.lv. admin.altnet.lv

¿Qué podrían ser después? ¿Confirmando direcciones de correo electrónico?

    
pregunta Cleber Goncalves 01.02.2013 - 14:13
fuente

1 respuesta

4

El primer enlace utiliza una página web de redireccionamiento que muchos productos antivirus detectan como:

  • Sophos: Troj / Redir-O
  • Microsoft: Trojan: HTML / BlacoleRef.A
  • Kaspersky: Trojan.HTML.Redirector.an
  • AntiVir: HTML / FriendLoad.A

El texto <h1> You are here because one of your friends <br> have invited you.<br> Page loading, please wait.... es lo que se está detectando, por lo que probablemente se usó antes en una campaña de malware o spam para redirigir a diferentes sitios web.

Un análisis de un redirector antiguo pero similar es aquí .

  

[...] te redirigirá al siguiente sitio web que se hace pasar por un    sitio web de CNBC artículo,   Por ejemplo:

     
  • marketnewsonline10.com
    •   
  • marketnewsonline11.com
    •   
  • marketnewsnext7online.com
    •   

El sitio al que redirige, http://newsmarketgenonline10go.eu es detectado por Websense ThreatSeeker como un sitio de phishing .

Otros dominios similares utilizados en la misma campaña también se detectan como phishing:

  • Phishtank: Sitio de phishing
  • Comodo Site Inspector: sitio de phishing
  • ThreatSeeker de Websense: sitio de phishing

Esto me parece una campaña de phishing abandonada.

    
respondido por el Cristian Dobre 01.02.2013 - 14:36
fuente

Lea otras preguntas en las etiquetas

¿Protegiendo los hash de contraseña con procedimientos almacenados? HMAC ¿Cuál es la manera segura de distribuir el secreto compartido entre el cliente y el servidor?