lundi 23 janvier 2012
Hongrois aux coïncidences (ou pas)
Par Vincent HINDERER, lundi 23 janvier 2012 à 16:00 :: General
Plusieurs dizaines de domaines distincts hébergés sur une classe d'adresse IP appartenant à OVH (Pologne) ont été utilisés ces dernières semaines comme relais de messagerie au sein de campagnes de spams. Les domaines présentent un contenu identique, associé au domaine "emailcloud.me" :

Dans certains cas, le formulaire abuse est directement affiché au lieu de cette interface d'administration. Ce formulaire comporte une formulation pour le moins étonnante :

Emailcloud.me ne présente de son côté depuis plusieurs semaines qu'une page d'attente pour cause de maintenance. Mais les caches des moteurs de recherche ne l'ont pas (encore) oublié :
Presque tous les domaines utilisés ont été déposés via des services d'anonymisation de l'identité du détenteur. Seul le whois du domaine "irie.hu", accessible sur la même IP que emailcloud.me, n'a pas été anonymisé. Il est probable que cette option, disponible pour des domaines enregistrés sur des extensions génériques (com, net, org, info, etc.), ne le soit pas pour les domaines avec extension hongroise.
Whois de irie.hu :
Tibor Divo
Vaci str 138C
1132 Budapest
HU
+36-205559095
iriehu@gmail.com
L'indisponibilité d'emailcloud.me provient potentiellement du fait que le site a été défacé (en décembre a priori) comme le montre ce lien et d'autres défacements revendiqués sous ce nom. La "société" a cependant été active pendant plusieurs mois et disposait d'un compte Twitter sur lequel a notamment été annoncé le lancement de son offre "ECMTA" (probablement pour Email Cloud Mail Transfer Agent) v3.
Ecmta.biz est en effet associé à emailcloud.me, puisqu'on retrouve ce domaine sur la même IP et comme enregistrement PTR des domaines identifiés auparavant. Mais l'adresse email manager@ecmta.biz est par ailleurs enregistrée comme contact pour la classe d'adresse IP : 85.25.168.191/27 détenue par :
Lovas Fruzsnica
Vaci str 138C
1132 Budapest
HU
+36-20-5559094
manager@ecmta.biz
Soient 2 identités à la même adresse, avec un numéro de téléphone consécutif…
Par ailleurs, cette adresse postale à Budapest a été utilisée par le passé pour déposer plusieurs autres domaines présentant le même contenu, mais via l'adresse e-mail: support@emailcloud.info.
Or, emailcloud.info est détenu par une société apparemment basée au Panama.
Mosa Fantan
X-PLAY INTERACTIVE Ltd.
Oho del Vidro 115
Santiago de Veraguas Jose AH3412
PA
+36.706668998
smsweb@ragesms.com
Notez que l'indicatif téléphonique du Panama est plutôt le +507 et non le +36 qui est celui de la Hongrie.
La résolution DNS du domaine emailcloud.me donne l'adresse IP 46.19.137.50, appartenant à une classe IP d'un hébergeur hongrois.
Détenteur de 46.19.137.48/29 :
Radnai Peter
Vaci str 34
1134 Budapest
Hungary
manager@ingyenpenz.com
+36204567891
Notez le pattern "manager@domaine" et que les 2 adresses postales à Budapest ne sont séparées que de quelques pâtés de maison…
Le domaine ingyenpenz.com, retombé dans le domaine public depuis le 20 octobre, avait de son côté été déposé via une identité équatorienne. Mais celle-ci est potentiellement fictive. En effet, l'adresse e-mail de contact renseignée provient d'un service de webmail hongrois, qui n'a d'ailleurs pas de version hispanophone (ni anglophone).
Whois de ingyenpenz.com :
Andrade, Francisco
mospam@ar.hu
Marin 188 y Almagro
Quito, na 346628
Ecuador
+593.22364459
L'enquête pourrait se poursuivre sur ce détenteur, qui possède plusieurs autres domaines également identifiés dans des spams, en particulier en langue hongroise.
Mais "hongrois" pas que ce soit nécessaire.
Pour information "Ingyen penz" signifie en Hongrois: "De l'argent gratuit"

La classe IP louée par cet équatorien magyarophone est fournie par le prestataire (suisso-)panaméen Privatelayer.com/.com.pa (AS51852/AS52288). Une coïncidence probablement...
Ca bouge au pays du .fr(omage) : l'AFNIC, registre en charge de l'extension ".fr" continue sa révolution, suite à la loi du 22 mars et son décret paru le 1er août 2011.
A Distributed Denial of Service technique is actively exploited in the wild by attackers since a few months.
Les plugins SpyEye, c'est un peu comme les pokemons, il y en a beaucoup, tous ne sont pas utiles, mais on a envie de tous les collectionner.













The Htran tool has recently been used during several cyberattacks, such as 











Depuis maintenant près d'un an, il est apparu que certains groupes utilisant le malware bancaire ZeuS infectaient également les mobiles de leurs victimes, afin de leur dérober les SMS de confirmation envoyés par la banque en cas de tentative de virement. Les premières versions impactaient Symbian et Blackberry, puis Windows Mobile. Le malware mobile a été baptisé ZITMO, pour Zeus In The MObile.

Une des différences les plus connues entre les systèmes de fichiers EXT2 et EXT3 est que ce dernier utilise un journal pour stocker ses transactions, facilitant grandement la récupération du système de fichiers en cas, par exemple, de coupure électrique. Dans le cadre de la
Since last year, Microsoft is distributing the 