Spam für McAfee, LLC / McAfee Ireland Limited

[schara56]

Noch interessanter:

Der [Link nur für registrierte Mitglieder sichtbar. ] war ja die Domain ^whois: [Link nur für registrierte Mitglieder sichtbar. ].
Dann ging es weiter per HTTP302 zu:
^whois: [Link nur für registrierte Mitglieder sichtbar. ]/0/0/0/*schnapp*/*schnapp*/*schnapp*

Nun besah ich mir den Netzwerktraffic etwas genauer an und siehe da:
^whois: [Link nur für registrierte Mitglieder sichtbar. ]/0/0/0/*schnapp*/*schnapp*/*schnapp*#kamo.es_309_times_left

Und ja, das wird runtergezählt.

Mal gucken, wenn ich mit etwas Drehmoment dagegen fahre...

...dann reisst dem Server bei mir die Welle ab und ich darf nix mehr machen.
...irgendwas ist jetzt auch noch an der Kurbelwelle...

[schara56]

header:

01: Received: from s.wrqvwxzv.outbound-mail.sendgrid.net
02: 	(s.wrqvwxzv.outbound-mail.sendgrid.net [149.72.154.232])
03: 	by x (Postfix) with ESMTP ID: [ID filtered]
04: 	for <x>; Fri,  9 Jun 2023 xx:xx:xx +0200 (CEST)

Beworbene Domain	IP Adresse(n)	Weiterleitung (j/n)
whois: [Link nur für registrierte Mitglieder sichtbar. ] /lnk /*schnapp* /1 /*schnapp* /*schnapp*	whois:35.241.186.140	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /0 /0 /0 /*schnapp* /32|120|short|3417804|000ud|79 /*schnapp*	whois:193.163.199.189	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /click ?trvid=10428 &s2=*schnapp* &s1=350574 &s3=*schnapp* &s4=1D &s5=32|120|short|3417804|000ud|79	whois:107.175.15.21	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /c /aff ?lid=5819492 &source_id=350574 &subid2=6m1rok4dmh7m &subid1=32|120|short|3417804|000ud|79	whois:34.200.87.205 whois:23.22.156.250	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /c /*schnapp* /*schnapp* /*schnapp* ?subId1=*schnapp* &sharedid=5819492 &Param1=350574 &Param2=6m1rok4dmh7m &Param3=32|120|short|3417804|000ud|79	whois:35.186.240.205	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /p /?return=whois: [Link nur für registrierte Mitglieder sichtbar. ] /c /*schnapp* /*schnapp* /*schnapp* ?subId1=*schnapp* &sharedid=5819492 &Param1=350574 &Param2=6m1rok4dmh7m &Param3=32|120|short|3417804|000ud|79 &level=1 &srcref=whois: [Link nur für registrierte Mitglieder sichtbar. ]/ &cid=*schnapp* &tpsync=yes &auth=*schnapp*	whois:34.95.127.121	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /c /*schnapp* /*schnapp* /*schnapp* ?subId1=*schnapp* &sharedid=5819492 &Param1=350574 &Param2=6m1rok4dmh7m &Param3=32|120|short|3417804|000ud|79 &level=1 &srcref=whois: [Link nur für registrierte Mitglieder sichtbar. ]/ &brwsr=*schnapp* &brwsrsig=*schnapp*	whois:35.186.240.205	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /consumer /de-de /landing-page /direct /aff /mtp-family /desktop /mcafee-total-protection.html ?irclickid=*schnapp* &clickid=*schnapp* &csrc=LQ &csrcl2=1194115 &sharedid=5819492 &adid=925745 &cctype=desktop &ccstype=partnerlinks &ccoe=direct &ccoel2=am &affid=1079 &param3=32|120|short|3417804|000ud|79 &param2=6m1rok4dmh7m &param1=350574 &prgt=b &culture=de-de	whois:104.102.58.198	[ ] ja / [X] nein

Faszinierende Parallelen. Ich vermute Impact Radius [Link nur für registrierte Mitglieder sichtbar. ] vor.

Beworbene Domain	IP Adresse(n)	Weiterleitung (j/n)
whois: [Link nur für registrierte Mitglieder sichtbar. ] /0 /0 /0 /*schnapp* /*schnapp* /*schnapp*	whois:45.12.254.58	[X] ja / [ ] nein

Beworbene Domain	IP Adresse(n)	Weiterleitung (j/n)
whois: [Link nur für registrierte Mitglieder sichtbar. ] /0 /0 /0 /*schnapp* /32|120|short|3417804|000ud|79 /*schnapp*	whois:193.163.199.189	[X] ja / [ ] nein

[kjz1]

Ganoven-Hosting in der Ukraine/Bulgarien:

header:

01: Received: from NAM10-BN7-obe.outbound.protection.outlook.com ([40.95.31.55])
02:  by mx-ha.gmx.net (mxgmx009 [212.227.15.9]) with ESMTPS (Nemesis) ID: [ID filtered]
03: X-MS-Exchange-CrossTenant-OriginalAttributedTenantConnectingIp:
04: TenantId=0d44c47c-e218-4965-a51d-7ac4e2d62d15;Ip=[119.8.83.147];Helo=[qbxresttxb.on
05: 	icrosoft.com]

IP: 119.8.83.147 -> AS136907 - HUAWEI CLOUDS, BR

gecrackt: [Link nur für registrierte Mitglieder sichtbar. ]

FedEx

Sehr geehrter McAfee-Kunde , xxx

Your account McAfee Total Protection ends Today

Ihr Konto McAfee Total Protection endet heute abgelaufen am Saturday
26-06-2023

nach diesem Datum werden Ihre Geräte anfällig für viele verschiedene
Virenbedrohungen.
Um dies zu vermeiden, laden wir Sie ein, Ihr Abonnement zu verlängern,
indem Sie auf die Schaltfläche
unten klicken

Verfügbar : (59%) Verlängerungsrabatt

Mein Konto verifizieren

^whois: [Link nur für registrierte Mitglieder sichtbar. ]...
IP: 5.44.252.197 -> AS3236 - SERVER.UA LLC

weiter auf:

^whois: [Link nur für registrierte Mitglieder sichtbar. ]
IP: 45.139.123.132 -> AS8100 - QuadraNet Enterprises LLC, BG

alphaMountain.ai: Malicious
BitDefender: Malware
CRDF: Malicious
CyRadar: Malicious
Fortinet: Malware
G-Data: Malware
Kaspersky: Phishing
Sophos: Malware

Wobei mir das FedEX und 337552_md irgendwie bekannt vorkommt...

[schara56]

sharedid=5819492 ist der Spammerdrecksack.

header:

01: Received: from NAM11-DM6-obe.outbound.protection.outlook.com ([104.47.57.174])
02:  by mx-ha.gmx.net (mxgmx007 [212.227.15.9]) with ESMTPS (Nemesis) id
03:  x for <x>; Sat, 26 Aug 2023
04:  xx:xx:xx +0200
05: X-MS-Exchange-CrossTenant-OriginalAttributedTenantConnectingIp:
06: 	TenantId=f9d72902-8530-45e3-84d0-29aff9010e76;Ip=[104.36.87.78];Helo=[adenexpress.
07: 	ive]

Beworbene Domain	IP Adresse(n)	Weiterleitung (j/n)
whois: [Link nur für registrierte Mitglieder sichtbar. ] /*schnapp* /*schnapp*	whois:185.72.86.17	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /t /*schnapp* /*schnapp*	whois:185.72.86.17	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /0 /0 /0 /*schnapp* /*schnapp* /*schnapp* /*schnapp*	whois:37.44.198.239	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /click ?trvid=*schnapp* &s2=*schnapp* &s1=*schnapp* &s3=*schnapp* &s4=*schnapp* &s5=*schnapp*	whois:107.175.15.19	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /c /aff ?lid=5819492 &source_id=351282 &subid2=*schnapp* &subid1=10	whois:23.22.156.250 whois:34.200.87.205	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /c /*schnapp* /*schnapp* /*schnapp* ?subId1=*schnapp* &sharedid=5819492 &Param1=351282 &Param2=*schnapp* &Param3=10		[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /p /?return=whois: [Link nur für registrierte Mitglieder sichtbar. ] /c /*schnapp* /*schnapp* /*schnapp* ?subId1=*schnapp* &sharedid=5819492 &Param1=351282 &Param2=*schnapp* &Param3=10 &level=1 &srcref=whois: [Link nur für registrierte Mitglieder sichtbar. ] &cid=*schnapp* &tpsync=yes &auth=*schnapp*	whois:34.95.127.121	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /c /*schnapp* /*schnapp* /*schnapp* ?subId1=*schnapp* &sharedid=5819492 &Param1=351282 &Param2=*schnapp* &Param3=10 &level=1 &srcref=whois: [Link nur für registrierte Mitglieder sichtbar. ]/ &brwsr=*schnapp* &brwsrsig=*schnapp*	whois:35.186.240.205	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /consumer /de-de /landing-page /direct /aff /mtp-family /desktop /mcafee-total-protection.html ?irclickid=*schnapp* &clickid=*schnapp* &csrc=LQ &csrcl2=1194115 &sharedid=5819492 &adid=925745 &cctype=desktop &ccstype=partnerlinks &ccoe=direct &ccoel2=am &affid=1079 &param3=10 &param2=*schnapp* &param1=351282 &prgt=b &culture=de-de	whois:23.212.223.97	[ ] ja / [X] nein

[schara56]

wieder der Affiliate mit der ID 5819492

header:

01: Received: from NAM12-BN8-obe.outbound.protection.outlook.com ([40.95.21.59])
02:  by mx-ha.gmx.net (mxgmx007 [212.227.15.9]) with ESMTPS (Nemesis) id
03:  x for <x>; Sun, 27 Aug 2023
04:  xx:xx:xx +0200
05: X-MS-Exchange-CrossTenant-OriginalAttributedTenantConnectingIp:
06: 	TenantId=5b74f265-be2b-436c-a5e0-7166356a3837;Ip=[110.238.102.37];

[schara56]

Der Affiliate mit der ID 5819492 belückte mich erneut.

header:

01: Received: from NAM10-BN7-obe.outbound.protection.outlook.com ([40.95.31.80])
02:  by mx-ha.gmx.net (mxgmx106 [212.227.17.5]) with ESMTPS (Nemesis) id
03:  x for <x>; Sun, 27 Aug 2023
04:  xx:xx:xx +0200
05: X-MS-Exchange-CrossTenant-OriginalAttributedTenantConnectingIp:
06: 	TenantId=121eafe6-ca38-4b0b-9f2b-0f0e6554c6da;Ip=[119.8.85.164];

[schara56]

sharedid=5819492 ist das Spammerschwein.

header:

01: Received: from NAM10-BN7-obe.outbound.protection.outlook.com ([40.95.31.44])
02:  by mx-ha.gmx.net (mxgmx108 [212.227.17.5]) with ESMTPS (Nemesis) id
03:  x for <x>; Wed, 30 Aug 2023
04:  xx:xx:xx +0200
05: X-MS-Exchange-CrossTenant-OriginalAttributedTenantConnectingIp:
06: 	TenantId=4c345da8-8bf6-4ebd-85af-3f163d4c05bb;Ip=[45.67.229.247];

Beworbene Domain	IP Adresse(n)	Weiterleitung (j/n)
whois: [Link nur für registrierte Mitglieder sichtbar. ] /*schnapp*	whois:5.44.252.197	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /0 /0 /0 /*schnapp* /*schnapp* /*schnapp* /*schnapp*	whois:45.139.123.132	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /click ?trvid=10428 &s2=*schnapp* &s1=*schnapp* &s3=*schnapp* &s4=*schnapp* &s5=*schnapp*	whois:107.175.15.19	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /c /aff ?lid=5819492 &source_id=*schnapp* &subid2=*schnapp* &subid1=*schnapp*	whois:23.22.156.250 whois:34.200.87.205	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /c /*schnapp* /*schnapp* /*schnapp* ?subId1=*schnapp* &sharedid=5819492 &Param1=*schnapp* &Param2=*schnapp* &Param3=*schnapp*	whois:35.186.240.205	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /p /?return=whois: [Link nur für registrierte Mitglieder sichtbar. ] /c /*schnapp* /*schnapp* /*schnapp* ?subId1=*schnapp* &sharedid=5819492 &Param1=*schnapp* &Param2=*schnapp* &Param3=*schnapp* &level=1 &srcref=whois: [Link nur für registrierte Mitglieder sichtbar. ] &cid=*schnapp* &tpsync=yes &auth=*schnapp*	whois:34.95.127.121	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /c /*schnapp* /*schnapp* /*schnapp* ?subId1=*schnapp* &sharedid=5819492 &Param1=*schnapp* &Param2=*schnapp* &Param3=*schnapp* &level=1 &srcref=whois: [Link nur für registrierte Mitglieder sichtbar. ] &brwsr=*schnapp* &brwsrsig=*schnapp*	whois:35.186.240.205	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /c /*schnapp* /*schnapp* /*schnapp* ?subId1=*schnapp* &sharedid=5819492 &Param1=*schnapp* &Param2=*schnapp* &Param3=*schnapp* &level=1 &srcref=whois: [Link nur für registrierte Mitglieder sichtbar. ] &brwsr=*schnapp* &brwsrsig=*schnapp*	whois:35.186.240.205	[X] ja / [ ] nein
whois: [Link nur für registrierte Mitglieder sichtbar. ] /consumer /de-de /landing-page /direct /aff /mtp-family /desktop /mcafee-total-protection.html ?irclickid=*schnapp* &clickid=*schnapp* &csrc=LQ &csrcl2=1194115 &sharedid=5819492 &adid=925745 &cctype=desktop &ccstype=partnerlinks &ccoe=direct &ccoel2=am &affid=1079 &param3=*schnapp* &param2=*schnapp* &param1=*schnapp* &prgt=b &culture=de-de	whois:184.84.90.101	[ ] ja / [X] nein

[schara56]

csrc=LQ

Das scheinen die hier zu sein: ^whois: [Link nur für registrierte Mitglieder sichtbar. ]

[schara56]

Gleicher Affililiate: lid=5819492

header:

01: Received: from o1381.ptr1488.ketto.org (o1381.ptr1488.ketto.org
02: 	[149.72.250.228])
03: 	by x (Postfix) with ESMTP ID: [ID filtered]
04: 	for <x>; Wed, 30 Aug 2023 xx:xx:xx +0200 (CEST)

[schara56]

lid=5819492

header:

01: Received: from NAM11-CO1-obe.outbound.protection.outlook.com ([40.95.37.64])
02:  by mx-ha.gmx.net (mxgmx009 [212.227.15.9]) with ESMTPS (Nemesis) id
03:  1N2kFq-1pfQoA2qg0-00rMqw for <poor [at] spamvictim.tld>; Thu, 31 Aug 2023
04:  xx:xx:xx +0200
05: ARC-Authentication-Results: i=1; mx.google.com;
06:        spf=pass (google.com: domain of poor [at] spamvictim.tld designates 93.174.10.25 as
07: 	permitted sender) 
08: X-MS-Exchange-CrossTenant-OriginalAttributedTenantConnectingIp:
09: 	TenantId=27082df9-7cf6-4de7-8a7a-2e30c2272fae;Ip=[185.219.135.40];