Overheid waarschuwt voor nep incasso e-mails Nuon
Het Nationaal Cyber Security Center (NCSC) waarschuwt Nederlandse internetgebruikers voor nep incasso e-mails die van een incassobureau afkomstig lijken dat in opdracht van Nuon zegt te handelen. In deze valse e-mails, die van Proquest Incasso afkomstig zouden zijn, worden lezers gewezen op openstaande vorderingen en wordt men gevraagd een link te openen. De link in het bericht wijst naar een virus.
De malware wordt volgens het NCSC nog nauwelijks door virusscanners herkend. "Daarnaast maakt het virus gebruik van het Tor-netwerk waardoor het moeilijk te detecteren is en daarnaast aan te pakken", aldus de overheidsinstantie.
Naast het negeren van de e-mails en niet openen van de links, kunnen beheerders de volgende IP-adressen en url's blokkeren.
- proquestincasso.com
- flurtbook.com
- 188.165.73.251
- 50.57.203.17
- 208.53.158.25
Reacties (14)
Deze mail hebben we vannacht ook 5 keer aangeboden gekregen maar is keurig als spam terzijde geschoven.
Echter, ik vraag me af of de overheid hier echt zo weinig mee kan.
Die site uit de lucht halen dat was vanochtend al gelukt.
En deze mensen zijn al een paar maanden actief, iedere keer met andere verhalen over vorderingen van
zogenaamde curators van failliete bedrijven enzo, ze hebben dus al de nodige sporen nagelaten bij hosters.
Als het de overheid niet lukt dan moeten we misschien het heft in eigen hand nemen en deze inbrekers
de hersens inslaan als we ze in ons huis aantreffen?
(want dat mag van Ivo)
Echter, ik vraag me af of de overheid hier echt zo weinig mee kan.
Die site uit de lucht halen dat was vanochtend al gelukt.
En deze mensen zijn al een paar maanden actief, iedere keer met andere verhalen over vorderingen van
zogenaamde curators van failliete bedrijven enzo, ze hebben dus al de nodige sporen nagelaten bij hosters.
Als het de overheid niet lukt dan moeten we misschien het heft in eigen hand nemen en deze inbrekers
de hersens inslaan als we ze in ons huis aantreffen?
(want dat mag van Ivo)
Ik moet zeggen dat deze mail in beter Nederlands is geschreven dan de andere nep mails die je vaak voorbij ziet komen.
07-11-2012, 16:22 door
regenpijp
Voor diegene die analyserapportjes willen bekijken:
http://anubis.iseclab.org/?action=result&task_id=168b83af38c592694a5656c608ba58aee&format=html#idp355568
http://www.threatexpert.com/report.aspx?md5=3caf161d12e776fe4a686edccf5dc9e5
Vanavond eens kijken of er verder wat mee kan.
Er zitten iig wat hardcoded urls in:
hxxp://www.vanderburgbol.nl/site/img/p6.jpg
hxxp://www.kantoorstempels.nl/external/kfm/get.php?id=1912&forcedownload=1
hxxp://flurtbook.com/module/z5.jpg
p6.jpg en z5.jpg zijn de Tor clients die worden binnen gehaald.
Verder lijkt er ook nog het een en ander aan gecodeerde strings in te zitten: http://pastebin.com/3ATCnZKk
Na het starten van het virus (wat eruit ziet als een PDF document, door het logo van acrobat reader en RTLO) krijgt de gebruiker een pop-up met een 'waarschuwing' dat er iets mis is gegaan, waardoor de gebruiker verder geen argwaan zal krijgen als die de executable opent: http://imgur.com/hCT9b
Een scan met Malware Bytes levert niks op, maar HitmanPro detecteert de malware wel.
Onder Start >> All programs >> Startup, staat een snelkoppeling ("Configuration") naar
"C:\Documents and Settings\Admin\Local Settings\Application Data\49cf2273\conhostd.exe"
Tor draait via: "C:\Documents and Settings\Admin\Local Settings\Application Data\Apps\trupd.exe" --SocksPort 52300 --FascistFirewall 1
En eerlijk gezegd zie ik wel een overeenkomst met de KLPD spear phishing aanval via CVE-2012-1723 die toen net uit was, want draai ik dat vorige virus dan vind ik onder Startup een snelkoppeling (MSupdate) naar
"C:\Documents and Settings\Admin\Local Settings\Application Data\49cf2272\juschedq.exe"
Het lijkt me dus sowieso wel voor de hand liggend dat beide aanvallen van dezelfde virusschrijvers afkomstig zijn.
- De mappen waarin de malware wordt geplaatst zijn zo goed als identiek.
- In beide gevallen wordt de naam verandert in de naam van een bekend proces + 1 letter (nuon: conhostd.exe, klpd: juschedq.exe)
- In beide gevallen hebben de snelkoppelingen in de Startup folder een naam die afkomstig is van Windows (nuon: Configuration, klpd: MSupdate)
- In beide gevallen Tor hidden services als C&C servers.
- Beide malware exemplaren laten via exact hetzelfde commando op dezelfde poort de Tor client benaderen, namelijk met: "C:\Documents and Settings\Admin\Local Settings\Application Data\Apps\trupd.exe" --SocksPort 52300 --FascistFirewall 1
- In beide gevallen gaat het waarschijnlijk om gehackte websites waarop de malware gehost wordt. (overigens is proquestincasso.com gisteren geregistreerd)
- En beide aanvallen zijn/waren gericht tegen Nederlandse bedrijven, consumenten, etc
Lijken me genoeg overeenkomsten :)
Overigens waarschuwt Nuon zelf ook op hun eigen website voor deze phishing: http://nieuws.nuon.nl/nuon/nepfactuur-over-nuon-in-omloop-betaal-niet
Edit zoveelste:
Overigens haal ik uit de netwerkdump nog een domein: bothbe.org, dit domein is 4 november 2012 geregistreerd en op dit moment niet actief, maar misschien is het een back-up domein.
Om de zoveel tijd wordt er een POST aanvraag verstuurd naar bothbe.org/ct3.php, de data die wordt verzonden is helaas versleuteld.
En nog een url uit de netwerkdump, dit keer via de dns query's: CnnPausing.net, 4 november 2012 geregistreerd en op dit moment draait er nog helemaal niks op.
Kortom de extra websites:
http://www.bothbe.org/ct3.php
http://www.cnnpausing.net/ct3.php
En er kwamen ook nog wat websites voorbij:
"urs.microsoft.com"
"pnrws.skype.com"
"c.brightcove.com"
"codecs.microsoft.com/isapi/ocget"
"activex.microsoft.com/objects/ocget"
"6waves.com/server"
"safebrowsing.clients.google.com"
en als laatste (niet een website): "gateway.messenger/gateway/gateway.dll"
Dus misschien een keylogger ofzoiets?
Geen hardcoded urls van de hidden services helaas, ze worden gegenereert, dus daar kunnen we weinig mee:
http://pastebin.com/Jw8QqcaM
http://anubis.iseclab.org/?action=result&task_id=168b83af38c592694a5656c608ba58aee&format=html#idp355568
http://www.threatexpert.com/report.aspx?md5=3caf161d12e776fe4a686edccf5dc9e5
Vanavond eens kijken of er verder wat mee kan.
Er zitten iig wat hardcoded urls in:
hxxp://www.vanderburgbol.nl/site/img/p6.jpg
hxxp://www.kantoorstempels.nl/external/kfm/get.php?id=1912&forcedownload=1
hxxp://flurtbook.com/module/z5.jpg
p6.jpg en z5.jpg zijn de Tor clients die worden binnen gehaald.
Verder lijkt er ook nog het een en ander aan gecodeerde strings in te zitten: http://pastebin.com/3ATCnZKk
Na het starten van het virus (wat eruit ziet als een PDF document, door het logo van acrobat reader en RTLO) krijgt de gebruiker een pop-up met een 'waarschuwing' dat er iets mis is gegaan, waardoor de gebruiker verder geen argwaan zal krijgen als die de executable opent: http://imgur.com/hCT9b
Een scan met Malware Bytes levert niks op, maar HitmanPro detecteert de malware wel.
Onder Start >> All programs >> Startup, staat een snelkoppeling ("Configuration") naar
"C:\Documents and Settings\Admin\Local Settings\Application Data\49cf2273\conhostd.exe"
Tor draait via: "C:\Documents and Settings\Admin\Local Settings\Application Data\Apps\trupd.exe" --SocksPort 52300 --FascistFirewall 1
En eerlijk gezegd zie ik wel een overeenkomst met de KLPD spear phishing aanval via CVE-2012-1723 die toen net uit was, want draai ik dat vorige virus dan vind ik onder Startup een snelkoppeling (MSupdate) naar
"C:\Documents and Settings\Admin\Local Settings\Application Data\49cf2272\juschedq.exe"
Het lijkt me dus sowieso wel voor de hand liggend dat beide aanvallen van dezelfde virusschrijvers afkomstig zijn.
- De mappen waarin de malware wordt geplaatst zijn zo goed als identiek.
- In beide gevallen wordt de naam verandert in de naam van een bekend proces + 1 letter (nuon: conhostd.exe, klpd: juschedq.exe)
- In beide gevallen hebben de snelkoppelingen in de Startup folder een naam die afkomstig is van Windows (nuon: Configuration, klpd: MSupdate)
- In beide gevallen Tor hidden services als C&C servers.
- Beide malware exemplaren laten via exact hetzelfde commando op dezelfde poort de Tor client benaderen, namelijk met: "C:\Documents and Settings\Admin\Local Settings\Application Data\Apps\trupd.exe" --SocksPort 52300 --FascistFirewall 1
- In beide gevallen gaat het waarschijnlijk om gehackte websites waarop de malware gehost wordt. (overigens is proquestincasso.com gisteren geregistreerd)
- En beide aanvallen zijn/waren gericht tegen Nederlandse bedrijven, consumenten, etc
Lijken me genoeg overeenkomsten :)
Overigens waarschuwt Nuon zelf ook op hun eigen website voor deze phishing: http://nieuws.nuon.nl/nuon/nepfactuur-over-nuon-in-omloop-betaal-niet
Edit zoveelste:
Overigens haal ik uit de netwerkdump nog een domein: bothbe.org, dit domein is 4 november 2012 geregistreerd en op dit moment niet actief, maar misschien is het een back-up domein.
Om de zoveel tijd wordt er een POST aanvraag verstuurd naar bothbe.org/ct3.php, de data die wordt verzonden is helaas versleuteld.
En nog een url uit de netwerkdump, dit keer via de dns query's: CnnPausing.net, 4 november 2012 geregistreerd en op dit moment draait er nog helemaal niks op.
Kortom de extra websites:
http://www.bothbe.org/ct3.php
http://www.cnnpausing.net/ct3.php
En er kwamen ook nog wat websites voorbij:
"urs.microsoft.com"
"pnrws.skype.com"
"c.brightcove.com"
"codecs.microsoft.com/isapi/ocget"
"activex.microsoft.com/objects/ocget"
"6waves.com/server"
"safebrowsing.clients.google.com"
en als laatste (niet een website): "gateway.messenger/gateway/gateway.dll"
Dus misschien een keylogger ofzoiets?
Geen hardcoded urls van de hidden services helaas, ze worden gegenereert, dus daar kunnen we weinig mee:
http://pastebin.com/Jw8QqcaM
07-11-2012, 18:15 door
[Account Verwijderd]
[Verwijderd]
07-11-2012, 19:26 door
regenpijp
@ Peter V
het blokkeren achteraf blokkeren van info@proquest.com heeft volgens mij totaal geen zin, ik neem aan dat deze mail niet nog een keer wordt verstuurd, zeker met alle commotie die op internet is ontstaan over deze email. Nergens op klikken is het belangrijkste.
het blokkeren achteraf blokkeren van info@proquest.com heeft volgens mij totaal geen zin, ik neem aan dat deze mail niet nog een keer wordt verstuurd, zeker met alle commotie die op internet is ontstaan over deze email. Nergens op klikken is het belangrijkste.
Klopt die mails komen wel steeds terug maar steeds van een ander adres (wel veelal hetzelfde adres voor de hele run)
en met andere inhoud. Het onderwerp is wel altijd een factuur, en die moet je dan zogenaamd ergens ophalen.
Waar gaat dat analyse verhaal over? Die spullen zitten allemaal niet in de mails die in onze spam quarantaine
staan, daar zitten alleen twee links in (proquestincasso.com) die allebei vanochtend om een uur of 10 al dood waren.
Heb je daarvoor iets kunnen ophalen via die links ofzo? Lijkt me dat er voor mensen die deze mail nu nog lezen
en er iets mee doen geen risico meer is.
en met andere inhoud. Het onderwerp is wel altijd een factuur, en die moet je dan zogenaamd ergens ophalen.
Waar gaat dat analyse verhaal over? Die spullen zitten allemaal niet in de mails die in onze spam quarantaine
staan, daar zitten alleen twee links in (proquestincasso.com) die allebei vanochtend om een uur of 10 al dood waren.
Heb je daarvoor iets kunnen ophalen via die links ofzo? Lijkt me dat er voor mensen die deze mail nu nog lezen
en er iets mee doen geen risico meer is.
Nog meer links:
hxxp://flurtbook.com/module/f5.jpg
hxxp://flurtbook.com/module/theme/1.gif
hxxp://flurtbook.com/module/theme/2.gif
hxxp://flurtbook.com/module/f5.jpg
hxxp://flurtbook.com/module/theme/1.gif
hxxp://flurtbook.com/module/theme/2.gif
M'n mailserver toonde in de spam logfile nog een ander IP-adres:
[07/Nov/2012 00:05:26] Message detected as spam with score: 5.16, threshold 5.00, From: zininshop@MX1.NINE-YARDS.NL, Sender IP: 85.17.213.57, Subject: Openstaande vordering Nuon, Message size: 4911
[07/Nov/2012 00:05:26] Message detected as spam with score: 5.16, threshold 5.00, From: zininshop@MX1.NINE-YARDS.NL, Sender IP: 85.17.213.57, Subject: Openstaande vordering Nuon, Message size: 4911
Ja dit is het IP adres van de hoster nine-yards.nl waar de website www.zininshop.nl gehost is die deze mensen gekraakt hebben en ingezet voor deze spamrun.
Helaas zijn deze mensen niet responsief. Ik verwacht niet dat ze in actie komen om uit te zoeken wie hier achter zitten.
Zij hebben hun systemen weer bij leaseweb staan. Die doen zowizo niks.
Dus dan houdt het voor ons stervelingen op. Nu zou justitie in actie moeten komen want die kunnen wel naar
binnen bij leaseweb en nine-yards.nl, desnoods met een gerechtelijk bevel.
Helaas zijn deze mensen niet responsief. Ik verwacht niet dat ze in actie komen om uit te zoeken wie hier achter zitten.
Zij hebben hun systemen weer bij leaseweb staan. Die doen zowizo niks.
Dus dan houdt het voor ons stervelingen op. Nu zou justitie in actie moeten komen want die kunnen wel naar
binnen bij leaseweb en nine-yards.nl, desnoods met een gerechtelijk bevel.
Ik heb de link wel geselecteerd, nu werk internet explorer niet meer. Wat kan ik het beste doen?
Leaseweb heeft mij gisteren nog gevraagd of ik de header van die e-mail naar ze door wilde sturen.
Dus ben benieuwd of ze dan toch nog hier mee verder gaan.
Ik heb ze ook gewezen op de artikel op deze site dat het bekend staat dat er meerdere spam mails verstuurd worden.
Misschien laat Leaseweb na mijn melding hierover dan toch nog wat meer van zich horen.
Als dit zo is dan zet ik het op deze pagina.
Dus ben benieuwd of ze dan toch nog hier mee verder gaan.
Ik heb ze ook gewezen op de artikel op deze site dat het bekend staat dat er meerdere spam mails verstuurd worden.
Misschien laat Leaseweb na mijn melding hierover dan toch nog wat meer van zich horen.
Als dit zo is dan zet ik het op deze pagina.
Ik kreeg , na dat Nuon geval, vandaag weer zo iets van Embuste Advocaten in Amsterdam Nooit van gehoord, over een vage openstaande vordering. van enen heer de Vries. Geen verdere gegevens als bedrag, faktuur, geleverde dienst. De enige de Vries meneren die ik ken zijn klanten, dus die betalen mij, ik niet hen. De Advocaat heet P. Kox, Johannes Vermeerstraat 338 Amsterdam heb hem een mailtje teruggestuurd met enkel de woorden Mr. COCK SUCKER zeker. Opletten dus!!
Ik ben:J.F.Fernandes
Ex:klant van Nuon
Klnr:11286329
Vandaag kreeg ik een brief dat ik moet betaal voor Nuon tot;18-12-12 een bedrag van;72,42 euro's en
met een ander bedrag,die samen zijn:157,60 euro's.Deze bedragen moet ik betaal tot 18-12-2012,maar ik heb vandaag die brief gekregen!...Hoe is dat mogelijk???
Ik probeer Nuon te bellen,maar de telefonen van Nuon werken niet!...
Ik had een contact met Nuon voor langer tijd.Is waar.Nuon heft aan me belooft dat die energie wordt nooit duur,maar naar een tijdje is wel duurder geworden(ongeveer 10 euro p/m)Dus,ben ik naar een ander leverancier en nu zijn ze niet tevreden!?!Ze hebben tegen me gelogen!...
domingo18@hotmail.com
Dit is me email.
Ex:klant van Nuon
Klnr:11286329
Vandaag kreeg ik een brief dat ik moet betaal voor Nuon tot;18-12-12 een bedrag van;72,42 euro's en
met een ander bedrag,die samen zijn:157,60 euro's.Deze bedragen moet ik betaal tot 18-12-2012,maar ik heb vandaag die brief gekregen!...Hoe is dat mogelijk???
Ik probeer Nuon te bellen,maar de telefonen van Nuon werken niet!...
Ik had een contact met Nuon voor langer tijd.Is waar.Nuon heft aan me belooft dat die energie wordt nooit duur,maar naar een tijdje is wel duurder geworden(ongeveer 10 euro p/m)Dus,ben ik naar een ander leverancier en nu zijn ze niet tevreden!?!Ze hebben tegen me gelogen!...
domingo18@hotmail.com
Dit is me email.
Ik ben:J.F.Fernandes
Ex:klant van Nuon
Klnr:11286329
Vandaag kreeg ik een brief dat ik moet betaal voor Nuon tot;18-12-12 een bedrag van;72,42 euro's en
met een ander bedrag,die samen zijn:157,60 euro's.Deze bedragen moet ik betaal tot 18-12-2012,maar ik heb vandaag die brief gekregen!...Hoe is dat mogelijk???
Ik probeer Nuon te bellen,maar de telefonen van Nuon werken niet!...
Ik had een contact met Nuon voor langer tijd.Is waar.Nuon heft aan me belooft dat die energie wordt nooit duur,maar naar een tijdje is wel duurder geworden(ongeveer 10 euro p/m)Dus,ben ik naar een ander leverancier en nu zijn ze niet tevreden!?!Ze hebben tegen me gelogen!...
domingo18@hotmail.com
Dit is me email.
Ex:klant van Nuon
Klnr:11286329
Vandaag kreeg ik een brief dat ik moet betaal voor Nuon tot;18-12-12 een bedrag van;72,42 euro's en
met een ander bedrag,die samen zijn:157,60 euro's.Deze bedragen moet ik betaal tot 18-12-2012,maar ik heb vandaag die brief gekregen!...Hoe is dat mogelijk???
Ik probeer Nuon te bellen,maar de telefonen van Nuon werken niet!...
Ik had een contact met Nuon voor langer tijd.Is waar.Nuon heft aan me belooft dat die energie wordt nooit duur,maar naar een tijdje is wel duurder geworden(ongeveer 10 euro p/m)Dus,ben ik naar een ander leverancier en nu zijn ze niet tevreden!?!Ze hebben tegen me gelogen!...
domingo18@hotmail.com
Dit is me email.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
