Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- 2017-09-08: #locky email phishing campaign "Emailed Invoice"
- Email sample:
- ----------------------------------------------------------------------------------------------------------------
- From: Amy Hendry <Amy@[REDACTED]>
- To: [REDACTED]
- Subject: Emailed Invoice - 957389
- Date: Fri, 08 Sep 2017 21:46:55 +1100
- As requested
- regards
- Amy Hendry
- --
- Amy Hendry
- Attachment: I_957389.html
- ----------------------------------------------------------------------------------------------------------------
- - sender address is forged to come from same domain as recipient
- - subject is "Emailed Invoice - <6 digits>"
- - attached HTML file "I_<6 digits>.html" contains an iframe which will contact and download another iframe HTML from one of the following sites:
- Second stage URLs:
- http://1234max.com/w/li7p.php
- http://1234max.co.uk/w/74dn.php
- http://1234max.co.uk/w/x16a.php
- http://1.babybrain.ru/w/emn2.php
- http://admin.pkpsv.ru/w/azn4.php
- http://alko812.ru/w/2aua.php
- http://ar777.ru/w/5m2y.php
- http://ar777.ru/w/k4fa.php
- http://ar777.ru/w/magv.php
- http://atm-digital.ru/w/bjga.php
- http://avtomir2.rbs62.ru/w/9za0.php
- http://bip32.1234max.com/w/ezqq.php
- http://bip32.1234max.com/w/pv4m.php
- http://bitmart.1234max.com/w/auvi.php
- http://civ.net-live.ru/w/1tqa.php
- http://civ.net-live.ru/w/dfey.php
- http://civ.net-live.ru/w/z7bs.php
- http://dice.1234max.com/w/12j9.php
- http://dp.tor4.biz/w/f9vs.php
- http://dvwa.tor4.biz/w/2gtf.php
- http://dvwa.tor4.biz/w/4o1a.php
- http://dvwa.tor4.biz/w/lqhc.php
- http://dyndns.tor4.biz/w/yjqn.php
- http://ecers.ru/w/0a0w.php
- http://edtrend.ru/w/jah7.php
- http://edu.ecers.ru/w/g7u1.php
- http://edu.ecers.ru/w/u3b4.php
- http://edu.ecers.ru/w/ypp5.php
- http://fender-vik1.myjino.ru/w/aqbx.php
- http://fender-vik1.myjino.ru/w/v1nz.php
- http://holdtime.ru/w/c08h.php
- http://ieantonionarinonunchia.edu.co/w/7h28.php
- http://isp.mgpu.ru/w/gnv5.php
- http://j670175.myjino.ru/w/jcbo.php
- http://kancmarkt.ru/w/aiyw.php
- http://kancmarkt.ru/w/kgwq.php
- http://kancmarkt.ru/w/uhlx.php
- http://lum0s.ru/w/63p7.php
- http://lum0s.ru/w/ajsx.php
- http://lum0s.ru/w/fqax.php
- http://lum0s.ru/w/qabw.php
- http://mail.tor4.biz/w/oq2d.php
- http://martinagebhardt.hu/w/mvmo.php
- http://martinagebhardt.hu/w/sjj9.php
- http://maxmart.1234max.com/w/dayn.php
- http://molapple.ru/w/amwf.php
- http://molapple.ru/w/dtc7.php
- http://msd.1234max.com/w/dds8.php
- http://msd.1234max.com/w/uoqt.php
- http://msd.tor4.biz/w/u7j6.php
- http://pay.tor4.biz/w/oc9a.php
- http://portal.rbs62.ru/w/6tn8.php
- http://portal.rbs62.ru/w/bnsq.php
- http://ptr-spb.ru/w/mp47.php
- http://renych.net-live.ru/w/i0pj.php
- http://rp.holdtime.ru/w/sc5x.php
- http://secure.tor4.biz/w/6qss.php
- http://secure.tor4.biz/w/uaii.php
- http://se.tor4.biz/w/29a4.php
- http://sptorgsib.ru/w/h1yg.php
- http://sptorgsib.ru/w/whil.php
- http://test.holdtime.ru/w/l6ma.php
- http://test.holdtime.ru/w/p5xs.php
- http://tor4.biz/w/tk29.php
- http://triumf.rbs62.ru/w/evxq.php
- http://triumf.rbs62.ru/w/juui.php
- http://umo.holdtime.ru/w/qxu6.php
- http://urstab.ru/w/29hp.php
- http://visa-sport.ru/w/4kym.php
- http://visa-sport.ru/w/twfw.php
- http://visa-sport.ru/w/wb73.php
- http://webdesign.1234max.com/w/7mls.php
- http://xn--80aejodxeccws.xn--p1ai/w/38bc.php
- http://xn--80aejodxeccws.xn--p1ai/w/4y2h.php
- http://xn--80aeuctebcuq4n.xn--p1ai/w/ngg6.php
- http://xn--b1apaaapcedcasdcidrcji.xn--p1ai/w/xo0v.php
- These HTMLs again contains iframe that leads to URL which will download a JavaScript file:
- http://righparningusetal.net/load.php
- Javascript will download final malware from:
- http://anstudio.it/uqkycdi.exe
- Malware:
- - locky, .lukitus variant
- - SHA256: 3315a2d5e721d5651480de71849f677a1a8ee2d4c2d7118053f02c71fb580b23, MD5: 75f0638e40cb937d9a553eb08b57d54c
- - VT: https://www.virustotal.com/en/file/3315a2d5e721d5651480de71849f677a1a8ee2d4c2d7118053f02c71fb580b23/analysis/
- - HA: https://www.reverse.it/sample/3315a2d5e721d5651480de71849f677a1a8ee2d4c2d7118053f02c71fb580b23?environmentId=100
- - C2: POST http://185.67.2.156/imageload.cgi
- - config https://pastebin.com/PjHPH0Y0 @James_in_the_box
Add Comment
Please, Sign In to add comment