Ebay/Paypal Phishing : Confirm your Identity

Vu sur le PC d’un pote, lors du logging sur le site Ebay.

Une popup Ebay Confirm Your identity qui s’ouvre demandant d’insérer les informations carte bancaire.
La popup est en anglais alors que ebay est en français, bien sûr ça pue.

Le code du formulaire ne donne pas d’information sur la destination :

<form name="send" method="post" onsubmit="return checkGeneralCCForm();">
 <input type="hidden" name="hidModalWindow" value="yes" id="hidModalWindow">
 <input type="hidden" name="hidModalWindowName" value="general" id="hidModalWindowName">

<div style="padding: 7px 0 9px 7px;">
<div style="padding: 10px 10px 0px 10px;">

 <span>Card number : </span>
 <INPUT id="ccCard" value="" type="text" name="card" value="" maxLength="16" size="16" >
<br />
 <span>Expiration Date , <i>mm/yyyy</i> : </span>
 <input value="" size="2" name="CCExp_month" maxlength="2" id="ccExpM"> / <input value="" size="4" name="CCExp_year" maxlength="4" id="ccExpY">
<br />
 <span>Signature Panel Code : </span>
 <input value="" size="5" maxlength="4" name="CVV2" id="ccCvv2">
<br />
 <span>ATM PIN : </span>
 <input value="" size="6" name="ATMPIN" maxlength="8" id="ccPin">
<br />
<center><button type="submit" id="ccSubImg" name="continue"><span><span>Continue</span></span></button></center>

</div>
</div>
</form>

L’adresse du formulaire est : http://my.ebay.fr/qwopumeuvqopmgutpcypsvjcyzqklwmp.php
Cette page fonctionne sur le PC en question mais pas ailleurs.

Cela confirme une infection qui « créé » cette page :

Une recherche sur la page sur Google donne d’autres cas et notamment des cas Paypal :

Confirmation, la page http://www.paypal.fr/qwopumeuvqopmgutpcypsvjcyzqklwmp.php fonctionne.
On obtient le message « We do not recognize the computer you are using. To continue with Online Banking, please provide the information requested below.«

Un coup de FillderCap sur la page montre une connexion vers l’IP http://37.58.74.67 (NL) qui délivre la page

Sur un PC sain on obtient bien le formulaire Ebay. D’ailleurs Firefox note la page comme malicieuse.

Le PC en question est infecté par ZeroAccess version 64 bits et à priori seulement cela, je pense donc que ZeroAccess est à l’origine de ces redirections.
Cependant, je n’ai pas pu à partir d’une VM infectée, reproduire cette attaque (module « phishing » spéciale?).

Une arnaque qui a des chances de marcher surtout outre atlantique puisque le formulaire en question est en anglais, en tout cas, on peux saluer l’ingéniosité des auteurs de malwares pour récupérer des cartes bancaires.

Table des matières

1 EDIT
2 EDIT – Zbot/Zeus et Spyeye
3 EDIT – Sinowal

EDIT

Amazon est aussi touché.
Il semblerait d’après ce topic sur CCM que le site de voyages-SNCF peux aussi être touché.

Dans le cas d’amazon.com, on retrouve toujours le même message : « We do not recognize the computer you are using. To continue with Online Banking, please provide the information requested below. »

EDIT – Zbot/Zeus et Spyeye

Pas mal de remontés qui parlent de Zbot/Zeus et Spyeye comme source de popups du même type qu’évoquée dans ce billet.

En jouant l’infection, effectivement sur ebay on se retrouve avec une popup en allemand : Identitat Bestätigung

Dans le code source de la page, on trouve une fonction loadpopupunder et une fonction Init.
Notez l’utilisation de variable avec le mot Inject dans le code.

Le code du formulaire :<div id= »inject »>

 <form id='myform'>

 <center>

 <table><tbody>

 <tr><td align="right">

 <img src="//pics.ebaystatic.com/aw/pics/logos/logoEbay_x45.gif" style="margin-top: -5px; margin-left: 0px;"/>

 </td></tr><tr><td align="left" style="text-align: justify; font-size: 11px;">

<b> Identitat Best&#228;tigung </b> <br/>

<br/>

Ihre Online-Sicherheit ist sehr wichtig, ebay. Es sieht aus wie Sie sich von Computer angemeldet sind wir nicht vertraut sind.

Auch wir wissen, k&#246;nnen Sie verschiedene Computer verwenden, werden wir mit der Einnahme dieses zus&#228;tzliche Vorsichtsma&#223;nahme, um unbefugten Zugriff auf Ihr Konto zu verhindern. </td></tr>

 </tbody></table></center>

 <center>

 <div>

 <table>

 <tbody>

 <tr><td align="left" style="font-size: 11px;"><b>Girokonto:</b</td><td align="left" style="font-size: 11px;"><input type="text" name="inject_konto" id="inject_konto" size="12" maxlength="12" onKeyPress ='if ((event.keyCode < 48) || (event.keyCode > 57)) event.returnValue = false;' /></td></tr>

 <tr><td align="left" style="font-size: 11px;"><b>Kreditkartennummer:</b</td><td align="left" style="font-size: 11px;"><input type="text" name="inject_cc" id="inject_cc" size="16" maxlength="16" onKeyPress ='if ((event.keyCode < 48) || (event.keyCode > 57)) event.returnValue = false;' /></td></tr>

 <tr><td align="left" style="font-size: 11px;"><b>G&#252;ltig bis:</b></td><td align="left" style="font-size: 11px;"><input type="text" name="inject_expdate_mm" id="inject_expdate_mm" size="2" maxlength="2" style="width: 20px;" onKeyPress ='if ((event.keyCode < 48) || (event.keyCode > 57)) event.returnValue = false;' /> / <input type="text" name="inject_expdate_yy" id="inject_expdate_yy" size="2" maxlength="2" style="width: 20px;" onKeyPress ='if ((event.keyCode < 48) || (event.keyCode > 57)) event.returnValue = false;' />&nbsp;<i>(MM/JJ)</i></td></tr>

 <tr><td align="left" style="font-size: 11px;"><b>Kartenpr&#252;fnummer:</b></td><td align="left" style="font-size: 11px;"><input type="text" name="inject_cvv" id="inject_cvv" size="4" maxlength="3" style="width: 28px;" onKeyPress ='if ((event.keyCode < 48) || (event.keyCode > 57)) event.returnValue = false;' /></td></tr>

 <tr><td align="left" style="font-size: 11px;"><b>Geburtsdatum:</b></td><td align="left" style="font-size: 11px;"><input type="text" name="inject_geburts_dd" id="inject_geburts_dd" size="2" maxlength="2" style="width: 20px;" onKeyPress ='if ((event.keyCode < 48) || (event.keyCode > 57)) event.returnValue = false;' /> / <input type="text" name="inject_geburts_mm" id="inject_geburts_mm" size="2" maxlength="2" style="width: 20px;" onKeyPress ='if ((event.keyCode < 48) || (event.keyCode > 57)) event.returnValue = false;' /> / <input type="text" name="inject_geburts_yy" id="inject_geburts_yy" size="2" maxlength="2" style="width: 20px;" onKeyPress ='if ((event.keyCode < 48) || (event.keyCode > 57)) event.returnValue = false;' />&nbsp;<i>(TT/MM/JJ)</i></td></tr>

 <tr><td align="left" style="font-size: 11px;"><b>PLZ:</b</td><td align="left" style="font-size: 11px;"><input type="text" name="inject_plz" id="inject_plz" size="5" maxlength="5" onKeyPress ='if ((event.keyCode < 48) || (event.keyCode > 57)) event.returnValue = false;' /></td></tr>

 </tbody>

 </table>

 </div>

 </form>

 </center>

</div>

La page d’ebay est en injectée pour charger la popup.
Le formulaire est différent et dans le premier cas, celui-ci est plus soigné.
De plus le fonctionnement est différent, dans le premier cas, c’était plutôt le chargement d’une popup par le chargement d’une page externe via redirection.
Enfin elle est quasi systématique, alors que dans le premier cas, elle était vraiment aléatoire.

EDIT – Sinowal

Je confirme le commentaire donné par Loustic qui tendait à dire que la redirection mentionné en début de billet est dû à Sinowal.
Cela confirme le topic sur CCM que j’ai donné plus haut où Sinowal était présent.

J’ai mis un Sinowal sur un Windows 64 bits et sur la page ebay affiche bien le Confirm Your Identity

Le lien avec la page PHP qui donne la page, et le fichier msseedir.dll dans le dossier Windows de ProgramData

Ce dernier se charge dans explorer.exe

HijackThis et OTL ne le mentionne pas, par contre sur le rapport OTL, on peux voir la modification/création du répertoire Windows :

[2012/04/13 13:16:02 | 000,000,000 | —D | C] — C:\Users\robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HiJackThis
[2012/04/13 13:03:41 | 000,000,000 | —D | C] — C:\ProgramData\Windows
[2012/04/13 13:01:33 | 000,000,000 | —D | C] — C:\Windows\Sun

Le Scan VirusTotal de Loustic donne un fichier détecté à :

SHA256: 573cf155485b0866271b3d9985fde27e6ead2e45f42b999c0d2ae8205b1c079f

File name: msseedir.dll
Detection ratio: 4 / 42

https://www.virustotal.com/file/573cf155485b0866271b3d9985fde27e6ead2e45f42b999c0d2ae8205b1c079f/analysis/1334259563/

Dans mon cas, j’ai pris une infection en ligne… et la détection est à 0 au moment où sont écrites ces lignes : https://www.virustotal.com/file/19c222105bca3a2257fcbcebce20f0a09320ff320b01aff46e9f763d37854f83/analysis/

Malwarevbytes détecte le fichier, je pense que la détection est relativement récente, car dans le cas du PC de mon collègue, ce dernier ne détectait rien.

ATTENTION : je rappelle que sur les OS non 64 bits, le malware se charge dans le MBR (jusque là je n’avais pu avoir ces popups avec ces versions) ==> https://forum.malekal.com/mbr-malwares-comment-detecter-supprimer-t29519.html
Malwarebyte ne fait rien contre ces variantes.

(Visité 108 fois, 1 visites ce jour)

Prev Article Next Article

4 Comments

dakodak 29 mars 2012
Hello,
37.58.74.67:80/TCP is down.
Loustic 12 avril 2012
OK. Je viens de galérer 4 heures sur ce truc et google n’avait pas la réponse, autant partager …
Symptôme: sous Firefox et IE (mais pas Chrome) j’avais quasi systématiquement le popup « confirm your identity… ». Effectivement ça utilise l’URL http://[site]/qwopumeuvqopmgutpcypsvjcyzqklwmp.php avec site = amazon, ebay, à peu près toutes les banques de la planète…
Dans mon cas c’est pas Zeroaccess, j’ai bien cherché.
Spybot, OTL, hijackthis, TDSSKiller etc… n’ont rien remontés.
C’est finalement aswMBR qui a détecté:
File: C:\ProgramData\Windows\msseedir.dll **INFECTED** Win32:Sinowal-LY [Trj]
Confirmé par:
https://www.virustotal.com/file/573cf155485b0866271b3d9985fde27e6ead2e45f42b999c0d2ae8205b1c079f/analysis/1334259563/
malekalmorte 13 avril 2012
Bonjour et Merci Loustic pour ton commentaire.
Je confirme aussi que Sinowal provoque ce genre de popups.
Xyl 14 septembre 2013
Dans le cas de Zeus/Spyeye/Citadel/IceIX/Kins on parle de « WebInject »
http://www.youtube.com/watch?v=4dL-WTyY6LM
http://en.wikipedia.org/wiki/Man-in-the-browser

EDIT

EDIT – Zbot/Zeus et Spyeye

EDIT – Sinowal

Related Posts

4 Comments

Add Comment