Ergebnis 1 bis 10 von 13

Thema: payment-quickpay.com [46.161.40.112] Phishing nach Kreditkartendaten

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    ### nicht streicheln ### Avatar von Nebelwolf
    Registriert seit
    17.07.2005
    Ort
    Köln/Bonn/Rhein-Sieg
    Beiträge
    3.690

    Standard payment-quickpay.com [46.161.40.112] Phishing nach Kreditkartendaten

    Hallo zusammen!

    Die Website internetbrowser-update.com verbreitet offensichtlich gezielt Schadprogramme. Wer die Seite aufruft, bekommt die Möglichkeit geboten Browser-Update wahlweise für Chrome, Firefox oder Opera zu Installieren. Auf der Website steht: "Der Download ist sicher von der offiziellen Seite des Herstellers." Angeboten wird aber immer die gleiche setup.exe, die auf dem Server und nicht beim Hersteller liegt. Intern nennt sich die Datei GoogleUpdateSetup.exe. Ein Scan der Datei bei Virustotal liefert leider keine Ergebnisse. Es muß aber einen Schadmechanismus geben, den ich nicht erkenne, den:

    Auf dem Server in der Ukraine mit der IP-Adresse 46.161.40.112 liegen 6 Domains:

    e-payment-postfinance.com
    healthgrades.store
    internetbrowser-update.com
    payment-quickpay.com
    safemeds.store
    santanderelavontpvvirtual.com

    Die Website payment-quickpay.com wird über den Browser bei Einkäufen in Webshops aufgerufen und versucht Kreditkartendaten zu erreichen, daher gehe ich davon aus, daß ein Zusammenhang zwischen beiden Domains besteht.

    Nebelwolf

  2. #2
    Deekaner Avatar von deekay
    Registriert seit
    07.07.2006
    Ort
    Lippe / NRW
    Beiträge
    5.959

    Standard

    Naja Passwörter und Bankdaten werden sicherlich abgefischt, wenn man sich diese .exe auf dem Rechner holt.
    "Es gibt tausendundeinen Grund, warum ein Mensch bestimmte Einzelheiten seiner Privatsphäre nicht offenbaren will, und es besteht nicht die geringste Pflicht, dies auch noch begründen zu müssen. Es reicht, dass man es nicht will."

    (Pär Ström, Autor und IT-Unternehmensberater)

  3. #3
    Ritter der Tafelrunde Avatar von Arthur
    Registriert seit
    15.01.2007
    Ort
    Avalon
    Beiträge
    11.331

    Standard

    Zitat Zitat von Nebelwolf Beitrag anzeigen
    Intern nennt sich die Datei GoogleUpdateSetup.exe.
    Wird diskutiert im WWW.
    http://windowsbulletin.com/files/exe/google/google-chrome/googleupdatesetup-exe
    https://howtoremove.guide/googleupdatesetup-exe-virus-remove/

    Check mal mit Malwarebyte. Kann sein, dass unter falscher Flagge gesegelt wird
    Geändert von Arthur (30.09.2020 um 13:56 Uhr)

  4. #4
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    18.240

    Standard

    Habe die *.exe zur Auswertung hier eingeworfen:

    https://www.hybrid-analysis.com/samp...2ee479ce628a63

    Analyse läuft derzeit noch.
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  5. #5
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    8.639

    Standard

    Ich werfe es mal hier rein, wurde direkt als Phishing markiert:


    header:
    01: Received: from APC01-SG2-obe.outbound.protection.outlook.com
    02: ([40.92.253.17])
    03: by mx-ha.gmx.net (mxgmx017 [212.227.15.9]) with ESMTPS (Nemesis) ID: [ID filtered]

    christinaa0ng@hotmail.com

    LIVEFUNDS Amount $7849.27 Received
    First Account Code
    whois:http://ukxrz.fatflusherdiet.org/7d20e1ef34
    IP: 162.0.235.113 -> AS22612 Namecheap, Inc.

    weiter auf:

    whois:http://gianipumplin.club
    IP: 104.27.140.78 -> Cloudflare
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  6. #6
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    8.639

    Standard

    Auch hier wieder evil Google:


    header:
    01: Received: from a4-17.smtp-out.eu-west-1.amazonses.com ([54.240.4.17]) by
    02: mx-ha.gmx.net (mxgmx001 [212.227.15.9]) with ESMTPS (Nemesis) ID: [ID filtered]

    Your package DE497586134 is waiting for delivery.
    Important message!


    In order to complete the delivery of your package DE497586134 , please
    confirm the payment Online confirmation must be made within the next 10
    days, before it expires.

    Deliver My Package >>

    Kind regards,
    DHL Tracking services.
    whois:http://legalecologist.co.uk/tracking-Dhexpress/
    IP: 35.221.170.221 -> AS15169 Google LLC
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  7. #7
    Neues Mitglied
    Registriert seit
    01.09.2020
    Beiträge
    29

    Standard

    Gestern eingetrudelt, Phishing Mail Volks- und Raiffeisenbanken, Rücksendeadresse: team@bostonhackday.com. Also platter geht nimmer, obwohl die Mail optisch stimmig und seriös aufbereitet war.

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen