Dancho Danchev's Blog - Mind Streams of Information Security Knowledge: 10/21/18

Sunday, October 21, 2018

Historical OSINT - Massive Blackhat SEO Campaign Spotted in the Wild Drops Scareware

This summary is not available. Please click here to view the post.

Independent Security Consultancy, Threat Intelligence Analysis (OSINT/Cyber Counter Intelligence) and Competitive Intelligence research on demand. Insightful, unbiased, and client-tailored assessments, neatly communicated in the form of interactive reports - because anticipating the emerging threatscape is what shapes the big picture at the end of the day. Approach me at dancho.danchev@hush.com

Historical OSINT - Spamvertized Swine Flu Domains - Part Two

It's 2010 and I've recently came across to a currently active diverse portfolio of Swine Flu related domains further enticing users into interacting with rogue and malicious content.

In this post I'll profile and expose a currently active malicious domains portfolio currently circulating in the wild successfully involved in an ongoing variety of Swine Flu malicious spam campaigns and will provide actionable intelligence on the infrastructure behind it.

Related malicious domains known to have participated in the campaign:
hxxp://pehwitew.cn - 58.17.3.44; 58.20.140.5; 220.248.167.126; 60.191.221.116; 110.52.6.252

Related name servers known to have participated in the campaign:
hxxp://ns6.plusspice.com - 110.52.6.252
hxxp://ns2.morewhole.com
hxxp://ns2.extolshare.com
hxxp://ns2.pridesure.com
hxxp://ns2.swellwise.com
hxxp://ns4.boostwise.com
hxxp://ns6.maxitrue.com
hxxp://ns4.sharezeal.com
hxxp://ns2.extolcalm.com
hxxp://ns4.humortan.com
hxxp://ns2.joysheer.com
hxxp://ns2.zestleads.com
hxxp://ns4.fizzleads.com
hxxp://ns4.maxigreat.com
hxxp://ns4.spicyrest.com
hxxp://ns4.hardyzest.com
hxxp://ns2.resttrust.com
hxxp://ns2.alertwow.com
hxxp://ns2.savetangy.com
hxxp://ns4.lovetangy.com
hxxp://ns2.coyrosy.com

Related malicious domains known to have participated in the campaign:
hxxp://jihpuyab.cn
hxxp://dabwedib.cn
hxxp://jehrawob.cn
hxxp://lacgidub.cn
hxxp://fektiyub.cn
hxxp://qucmolac.cn
hxxp://xopfekec.cn
hxxp://gamfesec.cn
hxxp://xokdemic.cn
hxxp://papxunic.cn
hxxp://jiqlosic.cn
hxxp://liynaloc.cn
hxxp://womrifuc.cn
hxxp://picduluc.cn
hxxp://feqtawuc.cn
hxxp://becfuzuc.cn
hxxp://ximnusad.cn
hxxp://limyoxed.cn
hxxp://cokgozed.cn
hxxp://qursehod.cn
hxxp://pimfilod.cn
hxxp://zofxitod.cn
hxxp://pehdiwod.cn
hxxp://ruvvabud.cn
hxxp://japwolud.cn
hxxp://qolqaqaf.cn
hxxp://tacreyaf.cn
hxxp://rajvufef.cn
hxxp://hiwjadif.cn
hxxp://pejjenif.cn
hxxp://hakyabof.cn
hxxp://rijgihag.cn
hxxp://pipgaqag.cn
hxxp://jaxkewag.cn
hxxp://cikqumog.cn
hxxp://tircodug.cn
hxxp://juryaqug.cn
hxxp://yawfadah.cn
hxxp://yabtudah.cn
hxxp://qifhihah.cn
hxxp://xeyselah.cn
hxxp://cotmetah.cn
hxxp://bulmitah.cn
hxxp://tegbejih.cn
hxxp://tuymokih.cn
hxxp://modqopoh.cn
hxxp://qejpoduh.cn
hxxp://xajsomuh.cn
hxxp://wisziruh.cn
hxxp://maypajej.cn
hxxp://tivhikej.cn
hxxp://holmayej.cn
hxxp://dabtizej.cn
hxxp://koyxuwij.cn
hxxp://romxebuj.cn
hxxp://hilzuluj.cn
hxxp://zulfavuj.cn
hxxp://vojhowuj.cn
hxxp://daldukak.cn
hxxp://rakvirak.cn
hxxp://fimresak.cn
hxxp://zepyosak.cn
hxxp://tovpiwak.cn
hxxp://raqhizak.cn
hxxp://salhibik.cn
hxxp://xonzulik.cn
hxxp://jezwutik.cn
hxxp://lungodok.cn
hxxp://qeytakok.cn
hxxp://weswukuk.cn
hxxp://lawmamuk.cn
hxxp://xomhoruk.cn
hxxp://zitkowuk.cn
hxxp://hoyzexuk.cn
hxxp://cutholal.cn
hxxp://jidtecel.cn
hxxp://jovmuhil.cn
hxxp://guxdipil.cn
hxxp://kujkuwil.cn
hxxp://kojvifol.cn
hxxp://zitgohol.cn
hxxp://cosxotol.cn
hxxp://wahwoxol.cn
hxxp://siqsayol.cn
hxxp://pipwoqul.cn
hxxp://zilfumam.cn
hxxp://fokvidem.cn
hxxp://vamhefem.cn
hxxp://hipxetem.cn
hxxp://hasrozem.cn
hxxp://yovbafim.cn
hxxp://zutgaqim.cn
hxxp://kamnorim.cn
hxxp://nussotim.cn
hxxp://yiblegom.cn
hxxp://vorteyom.cn
hxxp://mokgupum.cn
hxxp://xennesum.cn
hxxp://feshivum.cn
hxxp://nakcaban.cn
hxxp://yaxxokan.cn
hxxp://qikciqan.cn
hxxp://gagsuran.cn
hxxp://bopxuran.cn
hxxp://giwduvan.cn
hxxp://gixreqin.cn
hxxp://leccatin.cn
hxxp://jollipon.cn
hxxp://vuzlopon.cn
hxxp://butkoxon.cn
hxxp://falyewun.cn
hxxp://noscajap.cn
hxxp://xirqocep.cn
hxxp://daqdohep.cn
hxxp://wokvarep.cn
hxxp://hoggudip.cn
hxxp://heqfavip.cn
hxxp://jowrewip.cn
hxxp://cimqiqop.cn
hxxp://cibqobup.cn
hxxp://zijreyup.cn
hxxp://tosnabaq.cn
hxxp://tochekaq.cn
hxxp://cosmoqaq.cn
hxxp://zavnusaq.cn
hxxp://vufsaqeq.cn
hxxp://dagligiq.cn
hxxp://wugjaziq.cn
hxxp://fepsuwoq.cn
hxxp://pombeyoq.cn
hxxp://dokcokuq.cn
hxxp://diwsutuq.cn
hxxp://sayjumar.cn
hxxp://jidxurer.cn
hxxp://qalhiyir.cn
hxxp://goqtoqor.cn
hxxp://gaxdavor.cn
hxxp://kazqikas.cn
hxxp://piskeces.cn
hxxp://qamhadis.cn
hxxp://wifdixis.cn
hxxp://hejhelos.cn
hxxp://hedwimos.cn
hxxp://kerrucus.cn
hxxp://forhalus.cn
hxxp://fesnupus.cn
hxxp://lanzuhat.cn
hxxp://kadmepat.cn
hxxp://potzoyat.cn
hxxp://jupkevet.cn
hxxp://xagmiqit.cn
hxxp://woxjatit.cn
hxxp://gukpuxit.cn
hxxp://dubpacut.cn
hxxp://nifbihut.cn
hxxp://qunkofav.cn
hxxp://vippogav.cn
hxxp://rimjulav.cn
hxxp://kemhenav.cn
hxxp://gutziqav.cn
hxxp://gipbilev.cn
hxxp://kaxcidiv.cn
hxxp://xajwawov.cn
hxxp://rejcoyov.cn
hxxp://jogsuduv.cn
hxxp://lamfoguv.cn
hxxp://daxtohuv.cn
hxxp://mihwuxuv.cn
hxxp://hiwjuhaw.cn
hxxp://gohkijaw.cn
hxxp://tuwqetaw.cn
hxxp://lacjebew.cn
hxxp://vodrubew.cn
hxxp://pehwitew.cn
hxxp://yezxewew.cn
hxxp://yuvsobow.cn
hxxp://yodmapow.cn
hxxp://qotpobuw.cn
hxxp://megrafuw.cn
hxxp://zamponuw.cn
hxxp://kotzequw.cn
hxxp://yudmaruw.cn
hxxp://hamqiruw.cn
hxxp://siwwawuw.cn
hxxp://veqniwuw.cn
hxxp://bepnudax.cn
hxxp://jehfefax.cn
hxxp://boxjokex.cn
hxxp://yoclerex.cn
hxxp://guzjacix.cn
hxxp://mexcekix.cn
hxxp://kibtixix.cn
hxxp://conyixix.cn
hxxp://famlojox.cn
hxxp://jizwalox.cn
hxxp://dahhowox.cn
hxxp://zicquvtx.cn
hxxp://cavxujux.cn
hxxp://voqnolux.cn

Known to have responded to the same malicious IP (60.191.221.123) are also the following malicious domains:
hxxp://vitsulob.cn
hxxp://jahnivub.cn
hxxp://wipviyub.cn
hxxp://gokbulac.cn
hxxp://bedqaqac.cn
hxxp://suvnuqac.cn
hxxp://wukcilec.cn
hxxp://lukbolec.cn
hxxp://juhfaqic.cn
hxxp://mixwiqic.cn
hxxp://qikloric.cn
hxxp://halgiyic.cn
hxxp://jocvoloc.cn
hxxp://gugmikad.cn
hxxp://zoqvulad.cn
hxxp://zokdoled.cn
hxxp://daxlated.cn
hxxp://cahnubid.cn
hxxp://cufxuhod.cn
hxxp://libsorod.cn
hxxp://vopqatod.cn
hxxp://cebvoyod.cn
hxxp://lansocud.cn
hxxp://zohpakud.cn
hxxp://hekwasud.cn
hxxp://niknuvud.cn
hxxp://meymuhaf.cn
hxxp://nigkojef.cn
hxxp://bazmoyef.cn
hxxp://roszadif.cn
hxxp://sapmofif.cn
hxxp://kudxodof.cn
hxxp://pefkipof.cn
hxxp://xoqresof.cn
hxxp://fipxevof.cn
hxxp://quyzeluf.cn
hxxp://xujyeruf.cn
hxxp://xenpikeg.cn
hxxp://tafwohig.cn
hxxp://kowtuhig.cn
hxxp://dinpisig.cn
hxxp://teryuvig.cn
hxxp://funcizig.cn
hxxp://ciytamog.cn
hxxp://jemsowog.cn
hxxp://kiqzijug.cn
hxxp://pulfaxug.cn
hxxp://wojlabah.cn
hxxp://belzejah.cn
hxxp://pefdovah.cn
hxxp://xijsameh.cn
hxxp://racridih.cn
hxxp://rewfahih.cn
hxxp://vihxujih.cn
hxxp://qujvosih.cn
hxxp://figqacuh.cn
hxxp://xohmoluh.cn
hxxp://jicniwuh.cn
hxxp://kapxuraj.cn
hxxp://jubjavaj.cn
hxxp://bidkuqej.cn
hxxp://jarvixej.cn
hxxp://qinzidij.cn
hxxp://zagzafij.cn
hxxp://merjuwij.cn
hxxp://weqbujuj.cn
hxxp://gucdaluj.cn
hxxp://modxowuj.cn
hxxp://tobponak.cn
hxxp://tacjujek.cn
hxxp://fumliqek.cn
hxxp://wavfebik.cn
hxxp://xizqibik.cn
hxxp://focnigik.cn
hxxp://biqmipik.cn
hxxp://zowcoqik.cn
hxxp://fexsitik.cn
hxxp://qebdevik.cn
hxxp://xolkisok.cn
hxxp://kuqwuwok.cn
hxxp://gunwonuk.cn
hxxp://hewquvuk.cn
hxxp://gunbaqal.cn
hxxp://seysixal.cn
hxxp://zaymamel.cn
hxxp://weznohil.cn
hxxp://keczakil.cn
hxxp://wawberol.cn
hxxp://naftemul.cn
hxxp://sedbonam.cn
hxxp://velwapam.cn
hxxp://zinzutam.cn
hxxp://nudgixam.cn
hxxp://mibpabem.cn
hxxp://yolbaqem.cn
hxxp://fogduqem.cn
hxxp://qawtotem.cn
hxxp://qalfusim.cn
hxxp://kocguwim.cn
hxxp://zishikom.cn
hxxp://kozpipom.cn
hxxp://loblahum.cn
hxxp://winbomum.cn
hxxp://jakmezum.cn
hxxp://taglolan.cn
hxxp://suznuwan.cn
hxxp://jekwazan.cn
hxxp://toxmijen.cn
hxxp://nikguzen.cn
hxxp://dedmewin.cn
hxxp://jebvuwun.cn
hxxp://tupsikap.cn
hxxp://dudsuzap.cn
hxxp://yessafep.cn
hxxp://danxenep.cn
hxxp://leklidip.cn
hxxp://duklimip.cn
hxxp://yevnurip.cn
hxxp://virrotip.cn
hxxp://lalyezop.cn
hxxp://jaztecup.cn
hxxp://gokbehup.cn
hxxp://cuqyirup.cn
hxxp://gajvizup.cn
hxxp://cahwikaq.cn
hxxp://xeqbelaq.cn
hxxp://xicbamaq.cn
hxxp://qofqoneq.cn
hxxp://givxuyeq.cn
hxxp://gonganiq.cn
hxxp://vijsoziq.cn
hxxp://bignijoq.cn
hxxp://jejroxoq.cn
hxxp://culfunuq.cn
hxxp://qevxayuq.cn
hxxp://merwosar.cn
hxxp://loxvafer.cn
hxxp://cawnamir.cn
hxxp://wocyorir.cn
hxxp://tokhador.cn
hxxp://yuznisor.cn
hxxp://vamtator.cn
hxxp://gojligur.cn
hxxp://vukqejur.cn
hxxp://fewxopur.cn
hxxp://wukwoxur.cn
hxxp://bavyoxur.cn
hxxp://jegdufas.cn
hxxp://rillefes.cn
hxxp://niwwages.cn
hxxp://comrames.cn
hxxp://rohfapes.cn
hxxp://lehredis.cn
hxxp://jepniwos.cn
hxxp://lexxedus.cn
hxxp://xuljuhus.cn
hxxp://levgepat.cn
hxxp://modhewet.cn
hxxp://kawlozet.cn
hxxp://bufsofit.cn
hxxp://gekloyit.cn
hxxp://tercifot.cn
hxxp://yughaqut.cn
hxxp://surfabav.cn
hxxp://yutbevav.cn
hxxp://mowvahev.cn
hxxp://tuwcexev.cn
hxxp://liqfimiv.cn
hxxp://pefxamuv.cn
hxxp://goqdexuv.cn
hxxp://fozlubaw.cn
hxxp://yuxcizaw.cn
hxxp://mevvubew.cn
hxxp://nuzzuhew.cn
hxxp://dibkicow.cn
hxxp://lobrakow.cn
hxxp://vuksirow.cn
hxxp://samnuvow.cn
hxxp://jizlotuw.cn
hxxp://buzgikax.cn
hxxp://jawcesax.cn
hxxp://qatvegex.cn
hxxp://gegfejex.cn
hxxp://cigxekex.cn
hxxp://kejjobox.cn
hxxp://yosbucox.cn
hxxp://kelmogox.cn
hxxp://jeqyuzox.cn
hxxp://jocxebux.cn
hxxp://tawcizux.cn
hxxp://kittokay.cn
hxxp://seryusay.cn
hxxp://nocbusey.cn
hxxp://semfihiy.cn
hxxp://xotgajiy.cn
hxxp://sarvujiy.cn
hxxp://gicmosiy.cn
hxxp://fulpaziy.cn
hxxp://cunzumoy.cn

Related malicious name servers known to have participated in the campaign:
hxxp://ns2.boostaroma.com - 110.52.6.252
hxxp://ns2.okultra.com
hxxp://ns2.swellfab.com
hxxp://ns2.shehead.com
hxxp://ns2.atbread.com
hxxp://ns2.treatglad.com
hxxp://ns2.plumbold.com
hxxp://ns2.callold.com
hxxp://up2.thicksend.com
hxxp://ns6.zestkind.com
hxxp://ns2.burnround.com
hxxp://ns2.witproud.com
hxxp://ns2.fizznice.com
hxxp://ns6.plusspice.com
hxxp://up2.humaneagree.com
hxxp://ns2.adorewee.com
hxxp://ns4.kindable.com
hxxp://ns2.prideable.com
hxxp://ns2.cuddlyhumble.com
hxxp://ns2.ablewhole.com
hxxp://ns2.quickwhole.com
hxxp://ns2.plumpwhole.com
hxxp://up2.begancome.com
hxxp://up2.sizeplane.com
hxxp://up2.colonytype.com
hxxp://ns6.prizeaware.com
hxxp://ns2.pridesure.com
hxxp://ns2.toophrase.com
hxxp://ns2.loyalrise.com
hxxp://up2.pathuse.com
hxxp://ns2.dimplechaste.com
hxxp://ns2.welltrue.com
hxxp://ns2.ziptrue.com
hxxp://ns2.silverwe.com
hxxp://ns2.calmprize.com
hxxp://ns2.firmrich.com
hxxp://ns2.activeinch.com
hxxp://ns2.cookmulti.com
hxxp://ns2.wellmoral.com
hxxp://ns2.peakswell.com
hxxp://ns2.posewill.com
hxxp://ns2.droolcool.com
hxxp://up2.cuddlypoem.com
hxxp://ns2.loyalcalm.com
hxxp://ns2.extolcalm.com
hxxp://ns2.radiothan.com
hxxp://up2.persontrain.com
hxxp://ns2.awardfun.com
hxxp://ns4.zealreap.com
hxxp://ns2.piousreap.com
hxxp://ns2.firstreap.com
hxxp://ns2.grandzap.com
hxxp://ns2.royalzap.com
hxxp://ns6.ablezip.com
hxxp://ns2.zapeager.com
hxxp://up2.blockfather.com
hxxp://ns2.breezycorner.com
hxxp://ns2.donewater.com
hxxp://ns2.listenflower.com
hxxp://ns2.dimplechair.com
hxxp://up2.yardcolor.com
hxxp://ns4.fizzleads.com
hxxp://up2.finestgrass.com
hxxp://ns2.prizebeats.com
hxxp://ns4.maxigreat.com
hxxp://ns2.flairtreat.com
hxxp://up2.tingleflat.com
hxxp://ns6.proudquiet.com
hxxp://ns2.morequiet.com
hxxp://ns2.droolplanet.com
hxxp://up2.giftedunit.com
hxxp://ns2.solarwit.com
hxxp://ns2.ropemeant.com
hxxp://ns2.paradiseobedient.com
hxxp://ns4.paradiseobedient.com
hxxp://up2.minealert.com
hxxp://ns4.spicyrest.com
hxxp://ns4.alertjust.com
hxxp://ns2.resttrust.com
hxxp://ns2.pagefew.com
hxxp://ns2.multiaglow.com
hxxp://ns2.objectallow.com
hxxp://ns2.alertwow.com
hxxp://ns2.alivejuicy.com
hxxp://ns2.restjuicy.com
hxxp://ns2.funcomfy.com
hxxp://ns2.solarcomfy.com
hxxp://ns2.prizetangy.com
hxxp://ns2.wholehappy.com
hxxp://ns2.prideeasy.com
hxxp://ns2.suddeneasy.com
hxxp://ns2.treatrosy.com
hxxp://ns2.earlytwenty.com

Related malicious domains known to have participated in the campaign:
hxxp://xiskizop.cn - 58.17.3.44; 60.191.239.189; 203.93.208.86 - hxxp://ns5.prizeaware.com; hxxp://ns1.grandzap.com; hxxp://ns3.alertjust.com

Related malicious domains known to have participated in the campaigns:
hxxp://xancefab.cn
hxxp://busgihab.cn
hxxp://putcojab.cn
hxxp://nizvonab.cn
hxxp://bulpapab.cn
hxxp://laztoqab.cn
hxxp://varsesab.cn
hxxp://pahdeheb.cn
hxxp://wiqponeb.cn
hxxp://rutfuseb.cn
hxxp://zacniyeb.cn
hxxp://beblelib.cn
hxxp://gahvosib.cn
hxxp://rigzowib.cn
hxxp://bacnaxib.cn
hxxp://pexyufob.cn
hxxp://sowgugob.cn
hxxp://buhbulob.cn
hxxp://ciybufub.cn
hxxp://xoddimub.cn
hxxp://nugtaqub.cn
hxxp://buvkuzub.cn
hxxp://fikqebac.cn
hxxp://pevremac.cn
hxxp://qokbasac.cn
hxxp://patmebec.cn
hxxp://kuntigec.cn
hxxp://jolcekec.cn
hxxp://wihjorec.cn
hxxp://fixruyec.cn
hxxp://gospozec.cn
hxxp://batrijic.cn
hxxp://rebzomic.cn
hxxp://loqrupic.cn
hxxp://diqhaqic.cn
hxxp://bohkoqic.cn
hxxp://beszesic.cn
hxxp://tuzhovic.cn
hxxp://hesyuvic.cn
hxxp://kovhewic.cn
hxxp://lufreyic.cn
hxxp://noxrazic.cn
hxxp://lefviboc.cn
hxxp://fodcuboc.cn
hxxp://pevhihoc.cn
hxxp://widlajoc.cn
hxxp://zocwoloc.cn
hxxp://janpupoc.cn
hxxp://mefbuqoc.cn
hxxp://hujqezoc.cn
hxxp://capjebuc.cn
hxxp://befqacuc.cn
hxxp://socjujuc.cn
hxxp://qivbiruc.cn
hxxp://tuxbaxuc.cn
hxxp://tidsuyuc.cn
hxxp://kapdacad.cn
hxxp://lagfagad.cn
hxxp://japtugad.cn
hxxp://bechumad.cn
hxxp://holceqad.cn
hxxp://bectusad.cn
hxxp://tabzuwad.cn
hxxp://rednezad.cn
hxxp://megzizad.cn
hxxp://forvafed.cn
hxxp://hojliged.cn
hxxp://fuxcexed.cn
hxxp://baxpuxed.cn
hxxp://lugjized.cn
hxxp://lewdozed.cn
hxxp://hiszedid.cn
hxxp://buyquhid.cn
hxxp://wovyokid.cn
hxxp://yojvimid.cn
hxxp://widxixid.cn
hxxp://yovxoxid.cn
hxxp://reywufod.cn
hxxp://hubzahod.cn
hxxp://qapzekod.cn
hxxp://falxalod.cn
hxxp://yiznunod.cn
hxxp://towqotod.cn
hxxp://loxlayod.cn
hxxp://rockozod.cn
hxxp://johmabud.cn
hxxp://muvyucud.cn
hxxp://vattehud.cn
hxxp://fuytejud.cn
hxxp://kenyilud.cn
hxxp://cibsarud.cn
hxxp://najsatud.cn
hxxp://xibwazud.cn
hxxp://laztafaf.cn
hxxp://piynosaf.cn
hxxp://yelpidef.cn
hxxp://yagtudef.cn
hxxp://levxifef.cn
hxxp://povxajef.cn
hxxp://hetbetef.cn
hxxp://hudvotef.cn
hxxp://hemfowef.cn
hxxp://coqvazef.cn
hxxp://yawhojif.cn
hxxp://muvcewif.cn
hxxp://xadgobof.cn
hxxp://baxwuhof.cn
hxxp://wijtekof.cn
hxxp://sknqikof.cn
hxxp://mussiqof.cn
hxxp://gegwasof.cn
hxxp://xangesof.cn
hxxp://wumdewof.cn
hxxp://hoqtayof.cn
hxxp://kiyvayof.cn
hxxp://cufdicuf.cn
hxxp://gotbucuf.cn
hxxp://gexzehuf.cn
hxxp://cepceluf.cn
hxxp://gepleluf.cn
hxxp://tefhosuf.cn
hxxp://xaqqivuf.cn
hxxp://wubfezuf.cn
hxxp://panrozuf.cn
hxxp://nadvofag.cn
hxxp://yawjehag.cn
hxxp://zeltimag.cn
hxxp://misgaqag.cn
hxxp://noxyaxag.cn
hxxp://sunluxag.cn
hxxp://bozhoceg.cn
hxxp://dawqefeg.cn
hxxp://locfemeg.cn
hxxp://mivlaneg.cn
hxxp://vaqxiseg.cn
hxxp://gesyateg.cn
hxxp://kumweteg.cn
hxxp://jefpaveg.cn
hxxp://lilyegig.cn
hxxp://janweqig.cn
hxxp://diwjusig.cn
hxxp://sohmiwig.cn
hxxp://rimmazig.cn
hxxp://tirpedog.cn
hxxp://jamguhog.cn
hxxp://bejfakog.cn
hxxp://bebyolog.cn
hxxp://kixmamog.cn
hxxp://tofyeqog.cn
hxxp://kojxuqog.cn
hxxp://puqtabug.cn
hxxp://suszibug.cn
hxxp://ciwracug.cn
hxxp://nahbugug.cn
hxxp://gaygokug.cn
hxxp://seygoqug.cn
hxxp://helqasug.cn
hxxp://tockesug.cn
hxxp://jipqevug.cn
hxxp://rewnowug.cn
hxxp://nazxefah.cn
hxxp://hofkagah.cn
hxxp://coszegah.cn
hxxp://vojyojah.cn
hxxp://nihwalah.cn
hxxp://yojzatah.cn
hxxp://buvsutah.cn
hxxp://hulgadeh.cn
hxxp://nibzofeh.cn
hxxp://xickeqeh.cn
hxxp://kapmereh.cn
hxxp://regyaveh.cn
hxxp://lizpazeh.cn
hxxp://lujpobih.cn
hxxp://xozyecih.cn
hxxp://telhetih.cn
hxxp://dussadoh.cn
hxxp://lerbenoh.cn
hxxp://yokveqoh.cn
hxxp://hafgoqoh.cn
hxxp://gagkiroh.cn
hxxp://teftebuh.cn
hxxp://fitsofuh.cn
hxxp://ziwvomuh.cn
hxxp://fazlenuh.cn
hxxp://gazkinuh.cn
hxxp://dutmivuh.cn
hxxp://zukdayuh.cn
hxxp://busgayuh.cn
hxxp://nohpobaj.cn
hxxp://qusdumaj.cn
hxxp://wizdaqaj.cn
hxxp://wuwbeqaj.cn
hxxp://girzidej.cn
hxxp://vespifej.cn
hxxp://ceszegej.cn
hxxp://juqbumej.cn
hxxp://xuxmanej.cn

Related malicious name servers known to have participated in the campaign:
hxxp://ns1.quvzipda.com - 193.165.209.3
hxxp://ns1.syquskezaja.com
hxxp://ns1.mnysiwugpa.com
hxxp://ns1.uzfayxlob.com
hxxp://ns1.umkeihfub.com
hxxp://ns1.diethealthworld.com
hxxp://ns2.diethealthworld.com
hxxp://ns1.pillshopstore.com
hxxp://ns2.pillshopstore.com
hxxp://ns1.ixcopvudeg.com
hxxp://ns1.cuzatpih.com
hxxp://ns1.fondukoiwi.com
hxxp://ns1.zevmyxhyhl.com
hxxp://ns1.pecsletoil.com
hxxp://ns1.havputviwl.com
hxxp://ns1.icuhzapyl.com
hxxp://ns1.ollectimon.com
hxxp://ns1.calpuwhup.com
hxxp://ns1.miacohder.com
hxxp://ns1.rjycbaswes.com
hxxp://ns1.tlyldihkis.com
hxxp://ns2.bestfreepills.com
hxxp://ns2.storehealthpills.com
hxxp://ns1.medspillsdiscounts.com
hxxp://ns1.ribormolu.com
hxxp://ns1.sluxjagvyw.com
hxxp://ns1.marttabletsrx.com
hxxp://ns1.zirremeaby.com
hxxp://ns1.xioduvvejy.com
hxxp://ns1.tmypheatvy.com
hxxp://ns1.zurmeigguz.com
hxxp://ns1.pendyxconvam.net
hxxp://ns1.mevkybmomu.net
hxxp://ns1.wutvymnu.net
hxxp://ns1.atquackephix.net
hxxp://ns1.gneqwyapuz.net
hxxp://ns1.az6.ru
hxxp://ns1.compmegastore.ru
hxxp://ns1.wearcompstore.ru
hxxp://ns1.compnetstore.ru
hxxp://ns1.seaportative.ru
hxxp://ns1.webshopmag.ru
hxxp://ns2.webshopmag.ru
hxxp://ns1.markettradersmag.ru
hxxp://ns1.storeonlinecomp.ru
hxxp://ns1.livingmagcomp.ru
hxxp://ns1.magcompdirect.ru
hxxp://ns1.storemycompdirect.ru

Related malicious domains known to have participated in the campaigns:
hxxp://hyuljavmyca.com - 212.174.200.111
hxxp://rjiofnida.com
hxxp://lubetokbufa.com
hxxp://homhylvega.com
hxxp://syquskezaja.com
hxxp://kriwmikib.com
hxxp://rhuwcugniob.com
hxxp://fonrasetlid.com
hxxp://rycnyrfikre.com
hxxp://tonlijwe.com
hxxp://mefcyqwef.com
hxxp://lorcowurayf.com
hxxp://ubeuhroqug.com
hxxp://fadjybzih.com
hxxp://ghaknikfehi.com
hxxp://ksoknadsi.com
hxxp://fondukoiwi.com
hxxp://reixvyklick.com
hxxp://qworjulnenk.com
hxxp://svozquzrel.com
hxxp://pecsletoil.com
hxxp://havputviwl.com
hxxp://pendyxconvam.com
hxxp://whapzintaon.com
hxxp://ollectimon.com
hxxp://japyebawn.com
hxxp://xovtemfajo.com
hxxp://shymumoufjo.com
hxxp://calpuwhup.com
hxxp://iescehqucr.com
hxxp://thepillcorner.com
hxxp://kvirincyofr.com
hxxp://iecoqwecs.com

hxxp://syquskezaja.com - 200.204.57.187
hxxp://cuzatpih.com
hxxp://ollectimon.com
hxxp://sluxjagvyw.com
hxxp://xioduvvejy.com
hxxp://nravsaelvi.net
hxxp://pendyxconvam.net
hxxp://mevkybmomu.net
hxxp://atquackephix.net
hxxp://gneqwyapuz.net

Related malicious domains known to have participated in the campaign:
hxxp://tovpuveb.cn
hxxp://risregib.cn
hxxp://sapwopub.cn
hxxp://kutwuzub.cn
hxxp://dijmigac.cn
hxxp://davzunic.cn
hxxp://cuwlicoc.cn
hxxp://hinkizad.cn
hxxp://tiwkicid.cn
hxxp://giddehid.cn
hxxp://qehmujid.cn
hxxp://jadyoxid.cn
hxxp://yipxakud.cn
hxxp://qophepud.cn
hxxp://nawfusud.cn
hxxp://xohpebaf.cn
hxxp://yilqobaf.cn
hxxp://gelkinef.cn
hxxp://zigconef.cn
hxxp://vasgotef.cn
hxxp://gitmufif.cn
hxxp://pujxatof.cn
hxxp://tagcafuf.cn
hxxp://joywehuf.cn
hxxp://xoggunuf.cn
hxxp://pezpipuf.cn
hxxp://gugfequf.cn
hxxp://kattowuf.cn
hxxp://rosmicag.cn
hxxp://nagnuteg.cn
hxxp://fohjedig.cn
hxxp://hijderig.cn
hxxp://dittomog.cn
hxxp://zubwefah.cn
hxxp://fodpohah.cn
hxxp://sehviwah.cn
hxxp://hifkuneh.cn
hxxp://bidfecih.cn
hxxp://wuxmulih.cn
hxxp://beqwacoh.cn
hxxp://qukvimoh.cn
hxxp://vasxavoh.cn
hxxp://salxaxoh.cn
hxxp://labyocaj.cn
hxxp://zigxadij.cn
hxxp://hixkanij.cn
hxxp://zixkitoj.cn
hxxp://zijzoguj.cn
hxxp://yiwzuluj.cn
hxxp://survuruj.cn
hxxp://feftuqak.cn
hxxp://ziscawak.cn
hxxp://wacpowek.cn
hxxp://segjinuk.cn
hxxp://viqfizuk.cn
hxxp://qawgegal.cn
hxxp://loqfogal.cn
hxxp://sihwohal.cn
hxxp://babtakal.cn
hxxp://nagnemel.cn
hxxp://ribwegil.cn
hxxp://watpiyil.cn
hxxp://goxmabul.cn
hxxp://siwkecul.cn
hxxp://selzimul.cn
hxxp://qakwivul.cn
hxxp://bedvuyul.cn
hxxp://fiddozul.cn
hxxp://joldokim.cn
hxxp://foztokim.cn
hxxp://woklahum.cn
hxxp://gavsanum.cn
hxxp://kejrupum.cn
hxxp://hagjatum.cn
hxxp://xumfuzum.cn
hxxp://mafcocan.cn
hxxp://geqkedan.cn
hxxp://fumhasan.cn
hxxp://zosqinen.cn
hxxp://nonzinen.cn
hxxp://tahyedin.cn
hxxp://niyyurin.cn
hxxp://wokmison.cn
hxxp://nekmerun.cn
hxxp://gebzevun.cn
hxxp://dizxohap.cn
hxxp://wirzovap.cn
hxxp://cobyizip.cn
hxxp://sokwimop.cn
hxxp://digjipop.cn
hxxp://qagtohup.cn
hxxp://wodkepaq.cn
hxxp://kuqqavaq.cn
hxxp://vogyafeq.cn
hxxp://qokyaziq.cn
hxxp://gelmaloq.cn
hxxp://rikxeduq.cn
hxxp://mifzoyuq.cn
hxxp://jitmekar.cn
hxxp://zedbeper.cn
hxxp://qoyrifir.cn
hxxp://rerbogir.cn
hxxp://nexyutir.cn
hxxp://yuvwobor.cn
hxxp://raddijor.cn
hxxp://rehciror.cn
hxxp://jowqasor.cn
hxxp://wotrisor.cn
hxxp://tinselur.cn
hxxp://sacvakes.cn
hxxp://xonlefis.cn
hxxp://sehwukos.cn
hxxp://torxupos.cn
hxxp://yujzidus.cn
hxxp://dejzezat.cn
hxxp://gunjivet.cn
hxxp://hecfocav.cn
hxxp://yuxdiqav.cn
hxxp://guysogiv.cn
hxxp://tebziniv.cn
hxxp://dedsupov.cn
hxxp://genwsxov.cn
hxxp://xaycozuv.cn
hxxp://fojgoraw.cn
hxxp://suwsozaw.cn
hxxp://hudwuhew.cn
hxxp://momzuhew.cn
hxxp://pibwokiw.cn
hxxp://lacfimiw.cn
hxxp://jubduriw.cn
hxxp://talcuviw.cn
hxxp://xavgubow.cn
hxxp://zovcofow.cn
hxxp://qopzubax.cn
hxxp://dogqodax.cn
hxxp://jimjakax.cn
hxxp://ricnafex.cn
hxxp://nadlewex.cn
hxxp://mokcegox.cn
hxxp://getkixox.cn
hxxp://wucpulux.cn
hxxp://dalpobay.cn
hxxp://refhagay.cn
hxxp://jusyadey.cn
hxxp://reqpijey.cn
hxxp://vebzaqiy.cn
hxxp://sejtogoy.cn
hxxp://yecnaquy.cn
hxxp://xufguyuy.cn
hxxp://puktunaz.cn
hxxp://zaztuvaz.cn
hxxp://sixbufiz.cn
hxxp://nofdowiz.cn
hxxp://cuvxoqoz.cn
hxxp://yugkiwuz.cn

Related malicious domains known to have participated in the campaign:
hxxp://columnultra.com - 58.17.3.41
hxxp://milkhold.com
hxxp://eagerboard.com
hxxp://yesonlynoun.com
hxxp://differdo.com
hxxp://seemlykeep.com
hxxp://seemnear.com
hxxp://modernbut.com

Related malicious domains known to have participated in the campaign:
hxxp://litgukab.cn
hxxp://xojyupab.cn
hxxp://ritlarab.cn
hxxp://qeqyukeb.cn
hxxp://fedpijib.cn
hxxp://xumlodob.cn
hxxp://kozgewob.cn
hxxp://fajnahec.cn
hxxp://nedsicic.cn
hxxp://hertuqic.cn
hxxp://linrudoc.cn
hxxp://gilqufuc.cn
hxxp://lijwituc.cn
hxxp://loqbaxuc.cn
hxxp://camxezuc.cn
hxxp://foyxolad.cn
hxxp://bapvusad.cn
hxxp://wokmeyad.cn
hxxp://yizqosed.cn
hxxp://vivwiwef.cn
hxxp://percaqof.cn
hxxp://cepceluf.cn
hxxp://paqhizuf.cn
hxxp://vorvivag.cn
hxxp://maynixeg.cn
hxxp://mujyumig.cn
hxxp://coyrekog.cn
hxxp://xetvetih.cn
hxxp://mugyujuh.cn
hxxp://supsizuh.cn
hxxp://bixtakaj.cn
hxxp://lanmixej.cn
hxxp://worxezej.cn
hxxp://tikgepij.cn
hxxp://yatsanak.cn
hxxp://tucgosak.cn
hxxp://hihnuwak.cn
hxxp://qilfadek.cn
hxxp://zibsitik.cn
hxxp://xetmojok.cn
hxxp://yelsecuk.cn
hxxp://confowuk.cn
hxxp://pozzoxuk.cn
hxxp://savhixal.cn
hxxp://nudtaqel.cn
hxxp://keptavol.cn
hxxp://berqufam.cn
hxxp://wuqrulam.cn
hxxp://goftiwam.cn
hxxp://vowcajem.cn
hxxp://rizfinim.cn
hxxp://jetgekom.cn
hxxp://letjucun.cn
hxxp://wivwiqap.cn
hxxp://duccesap.cn
hxxp://zamyisap.cn
hxxp://ranpovep.cn
hxxp://kucdawep.cn
hxxp://limjapip.cn
hxxp://ciggecop.cn
hxxp://ziybelop.cn
hxxp://yakquyeq.cn
hxxp://borremiq.cn
hxxp://vuzwesuq.cn
hxxp://rosvocor.cn
hxxp://hakdugas.cn
hxxp://kabmebes.cn
hxxp://purhuves.cn
hxxp://gopmocis.cn
hxxp://cabziqis.cn
hxxp://pomzonos.cn
hxxp://zojvapus.cn
hxxp://nobfemat.cn
hxxp://ritcubav.cn
hxxp://bibbikev.cn
hxxp://daslulev.cn
hxxp://naczoduv.cn
hxxp://betjoqiw.cn
hxxp://yoqlamow.cn
hxxp://jawjeqow.cn
hxxp://zijmivuw.cn
hxxp://dupqozuw.cn
hxxp://fatnudax.cn
hxxp://defrogax.cn
hxxp://kalyahax.cn
hxxp://toztipax.cn
hxxp://gecfopax.cn
hxxp://wuqzubex.cn
hxxp://hexpadix.cn
hxxp://luhnukox.cn
hxxp://vecbibey.cn
hxxp://dimgecey.cn
hxxp://fammuvey.cn
hxxp://zepfabiy.cn
hxxp://gewvamiy.cn
hxxp://pekzariy.cn
hxxp://pixkinaz.cn
hxxp://mecqulez.cn
hxxp://yubreliz.cn
hxxp://juvmeriz.cn
hxxp://mafcixiz.cn
hxxp://butlezoz.cn
hxxp://xisqapuz.cn
hxxp://jihkohab.cn
hxxp://litgukab.cn
hxxp://xojyupab.cn
hxxp://ritlarab.cn
hxxp://qancabeb.cn
hxxp://xaqkabeb.cn
hxxp://qeqyukeb.cn
hxxp://bobhoneb.cn
hxxp://fedpijib.cn
hxxp://kozgewob.cn
hxxp://mirlacub.cn
hxxp://jokrogub.cn
hxxp://qupbihac.cn
hxxp://viqnijac.cn
hxxp://bucdawac.cn
hxxp://latzoyac.cn
hxxp://ferkogec.cn
hxxp://qujqugec.cn
hxxp://fajnahec.cn
hxxp://saybilec.cn
hxxp://yaxxosec.cn
hxxp://nedsicic.cn
hxxp://cimhijic.cn
hxxp://hertuqic.cn
hxxp://linrudoc.cn
hxxp://mahhekoc.cn
hxxp://pegvijuc.cn
hxxp://camxezuc.cn
hxxp://kossehad.cn
hxxp://bapvusad.cn
hxxp://coffebed.cn
hxxp://xadjeqid.cn
hxxp://pehxarid.cn
hxxp://maknohod.cn
hxxp://yujhaqod.cn
hxxp://vevteyod.cn
hxxp://rinmumud.cn
hxxp://xuldeyud.cn
hxxp://fedrujaf.cn
hxxp://nugnosaf.cn
hxxp://koxpelef.cn
hxxp://tecyatef.cn
hxxp://hemfowef.cn
hxxp://pavlegif.cn
hxxp://percaqof.cn
hxxp://sizkeyof.cn
hxxp://zugkucuf.cn
hxxp://rijhuhuf.cn
hxxp://cepceluf.cn
hxxp://paqhizuf.cn
hxxp://xowjicag.cn
hxxp://dofpalag.cn
hxxp://hujrulag.cn
hxxp://maxtayag.cn
hxxp://qekvoceg.cn
hxxp://vazwureg.cn
hxxp://pilpuweg.cn
hxxp://wedruweg.cn
hxxp://cexkezeg.cn
hxxp://mujyumig.cn
hxxp://wintabog.cn
hxxp://nuzmohog.cn
hxxp://coyrekog.cn
hxxp://tubvuxog.cn
hxxp://zavdahug.cn
hxxp://yukpikug.cn
hxxp://muwsikeh.cn
hxxp://pecculeh.cn
hxxp://rafniteh.cn
hxxp://nukfijih.cn
hxxp://xetvetih.cn
hxxp://tikbacoh.cn
hxxp://zikwufuh.cn
hxxp://mugyujuh.cn
hxxp://hijbumuh.cn
hxxp://wubxayuh.cn
hxxp://quntoyuh.cn
hxxp://supsizuh.cn
hxxp://techegaj.cn
hxxp://bixtakaj.cn
hxxp://wuwbeqaj.cn
hxxp://caqhiqaj.cn
hxxp://lijzarej.cn
hxxp://lanmixej.cn
hxxp://jutzuzej.cn
hxxp://betkawij.cn
hxxp://mumrojoj.cn
hxxp://wulkukoj.cn
hxxp://selqetuj.cn
hxxp://zuvbowuj.cn
hxxp://sevpohak.cn
hxxp://qusvilak.cn
hxxp://qowrirak.cn
hxxp://tucgosak.cn
hxxp://bajhukek.cn
hxxp://qeyzecik.cn
hxxp://pijridik.cn
hxxp://yecgajik.cn
hxxp://tovboqik.cn
hxxp://sirrotik.cn
hxxp://pomzexik.cn
hxxp://nopvafok.cn
hxxp://xetmojok.cn
hxxp://fuqzuxok.cn
hxxp://xajkimuk.cn
hxxp://confowuk.cn
hxxp://pozzoxuk.cn
hxxp://vufmikal.cn
hxxp://korkusal.cn
hxxp://yasdaxal.cn
hxxp://nibnupel.cn
hxxp://nudtaqel.cn
hxxp://zivwirel.cn
hxxp://facjacil.cn
hxxp://qaqdidil.cn
hxxp://zirmidil.cn
hxxp://pivteqil.cn
hxxp://mutzomol.cn
hxxp://bahfosol.cn
hxxp://kajvatol.cn
hxxp://keptavol.cn
hxxp://mevvuqul.cn
hxxp://berqufam.cn
hxxp://zihwujam.cn
hxxp://jormofem.cn
hxxp://vowcajem.cn
hxxp://yawyibim.cn
hxxp://mibyumim.cn
hxxp://pabfakom.cn
hxxp://jetgekom.cn
hxxp://xolkizom.cn
hxxp://mujsikum.cn
hxxp://moynukan.cn
hxxp://ranfelan.cn
hxxp://kayjamen.cn
hxxp://kudcedon.cn
hxxp://getwison.cn
hxxp://givjivon.cn
hxxp://faykirun.cn
hxxp://zebxaxun.cn
hxxp://coclecap.cn
hxxp://texnipap.cn
hxxp://humyipap.cn
hxxp://duccesap.cn
hxxp://zamyisap.cn
hxxp://lunyicep.cn
hxxp://ranpovep.cn
hxxp://yifkebip.cn
hxxp://yiryemip.cn
hxxp://mowmoqip.cn
hxxp://wozhihop.cn
hxxp://mefrexop.cn
hxxp://qidyubup.cn
hxxp://qidjohup.cn
hxxp://lotjolup.cn
hxxp://dirdotup.cn
hxxp://memqowaq.cn
hxxp://civvufeq.cn
hxxp://bobfiliq.cn
hxxp://borremiq.cn
hxxp://singuroq.cn
hxxp://qudjuvoq.cn
hxxp://vuzwesuq.cn
hxxp://nuvmotuq.cn
hxxp://zohcidar.cn
hxxp://rentumar.cn
hxxp://fipzaqar.cn
hxxp://siqcatar.cn
hxxp://sagvitar.cn
hxxp://luqsiger.cn
hxxp://zuyxewer.cn
hxxp://jagnuyer.cn
hxxp://ruhbulir.cn
hxxp://sityeyir.cn
hxxp://rosvocor.cn
hxxp://julxapor.cn
hxxp://rixlupur.cn
hxxp://jutfisur.cn
hxxp://fabmotur.cn
hxxp://bukpuzur.cn
hxxp://pozsigas.cn
hxxp://hakdugas.cn
hxxp://lokzihas.cn
hxxp://mukkebes.cn
hxxp://mijpedes.cn
hxxp://conzakes.cn
hxxp://fodbemes.cn
hxxp://maqpumes.cn
hxxp://purhuves.cn
hxxp://hohgibis.cn
hxxp://kezyubis.cn
hxxp://gopmocis.cn
hxxp://soqsedis.cn
hxxp://defdoris.cn
hxxp://pomzonos.cn
hxxp://lanhovus.cn

We'll continue monitoring the campaign and post updates as soon as new developments take place.

Dancho Danchev

Historical OSINT - Yet Another Massive Blackhat SEO Campaign Spotted in the Wild Drops Scareware

It's 2010 and I've recently came across to a currently active malicious and fraudulent blackhat SEO campaign successfully enticing users into interacting with rogue and fraudulent scareware-serving malicious and fraudulent campaigns.

In this post I'll provide actionable intelligence on the infrastructure behind the campaign.

Related malicious domains known to have participated in the campaign:
hxxp://globals-advers.com
hxxp://alldiskscheck300.com
hxxp://multisearch1.com
hxxp://myfreespace3.com
hxxp://hottystars.com
hxxp://multilang1.com
hxxp://3gigabytes.com
hxxp://drivemedirect.com
hxxp://globala2.com
hxxp://teledisons.com
hxxp://theworldnews5.com
hxxp://virtualblog5.com
hxxp://grander5.com
hxxp://5starsblog.com
hxxp://globalreds.com
hxxp://global-advers.com
hxxp://ratemyblog1.com
hxxp://greatvideo3.com
hxxp://beginner2009.com
hxxp://fastwebway.com
hxxp://blazervips.com
hxxp://begin2009.com
hxxp://megatradetds0.com
hxxp://securedonlinewebspace.com
hxxp://proweb-info.com
hxxp://security-www-clicks.com
hxxp://updatedownloadlists.com
hxxp://styleonlyclicks.cn
hxxp://informationgohere.com
hxxp://world-click-service.com
hxxp://secutitypowerclicks.cn
hxxp://securedclickuser.cn/
hxxp://slickoverview.com
hxxp://viewyourclicks.com
hxxp://clickwww2.com
hxxp://clickadsystem.com
hxxp://becomepoweruser.cn
hxxp://clickoverridesystem.cn

Related malicious domains known to have participated in the campaign:
hxxp://protecteduser.cn
hxxp://internetprotectedweb.com/
hxxp://clicksadssystems.com
hxxp://whereismyclick.cn
hxxp://trustourclicks.cn
hxxp://goldenstarclick.cn
hxxp://defendedsystemuser.cn

Related malicious domains known to have participated in the campaign:
hxxp://drivemedirect.com
hxxp://virtualblog5.com
hxxp://fastwebway.com

We'll continue monitoring the campaign and post updates as soon as new developments take place.

Dancho Danchev

Historical OSINT - Massive Blackhat SEO Campaign Spotted in the Wild Drops Scareware

It's 2010 and I've recently intercepted a currently active malicious and fraudulent blakchat SEO campaign successfully enticing users into interacting with rogue and fraudulent scareware-serving malicious and fraudulent campaigns.

In this post I'll profile the infrastructure behind the campaign and provide actionable intelligence on the infrastructure behind it.

Sample URL redirection chain:
hxxp://noticexsummary.com/re.php?lnk=1203597664 - 87.255.55.231
- hxxp://new-pdf-reader.com/1/promo/index.asp?aff=11677 - 66.207.172.196
= hxxps://secure-signupway.com/promo/join.aspx?siteid=3388

Related malicious domains known to have participated in the campaign:
hxxp://noticexsummary.com/

Related malicious domains known to have participated in the campaign:
hxxp://online-tv-on-your-pc.com/p2/index.asp?aff=11680&camp=unsub

We'll continue monitoring the campaign and post updates as soon as new developments take place.

Dancho Danchev

Historical OSINT - Yet Another Massive Blackhat SEO Campaign Spotted in the Wild

It's 2010 and I've recently stumbled upon yet another diverse portfolio of blackhat SEO domains this time serving rogue security software also known as scareware to unsuspecting users with the cybercriminals behind the campaign successfully earning fraudulent revenue in the process of monetizing access to malware-infected hosts largely relying on the utilization of an affiliate-network based type of revenue sharing scheme.

In this post I'll profile the infrastructure behind the campaign and provide actionable intelligence on the infrastructure behind it.

Related malicious domains known to have participated in the campaign:
hxxp://arnalduatis.com
hxxp://batistaluciano.com
hxxp://bethemedia.net
hxxp://bride-beautiful.com
hxxp://burgessandsons.com
hxxp://carolinacane.com
hxxp://caulfieldband.com
hxxp://improvenewark.com
hxxp://marsmellow.info
hxxp://noodlesonline.com
hxxp://queenslumber.com
hxxp://thesolidwoodflooringcompany.com
hxxp://wirelessexpertise.com
hxxp://bigbangexpress.com
hxxp://bioresonantie.net
hxxp://clubipg.com
hxxp://djdior.com
hxxp://djektoyz.com
hxxp://getraenkepool.com
hxxp://hartmanpescar.com
hxxp://hetkaashuis.com
hxxp://menno.info
hxxp://pianoaccompanistcompetition.com
hxxp://soundwitness.org
hxxp:/strijkvrij.com

Dancho Danchev

Historical OSINT - Profiling a Portfolio of Active 419-Themed Scams

It's 2010 and I've recently decided to provide actionable intelligence on a variety of 419-themed scams in particular the actual malicious actors behind the campaigns with the idea to empower law enforcement and the community with the necessary data to track down and prosecute the malicious actors behind these campaigns.

Related malicious and fraudulent emails known to have participated in the campaign:
david_ikemba@supereme-loan-finance.com - 96.24.14.4
charles.maynard1@gmx.com - 218.31.134.111
mr.karimahmed2004@msn.com - 41.203.231.82
fedexdelivryservices@yahoo.com.hk - 89.187.142.72
chevrondisbursement@hotmail.com - 41.138.182.245
mrslindahilldesk00000@hotmail.co.uk - 41.138.188.45
natt.westt@live.com - 115.242.40.142
google11anniversary2010@live.com - 115.240.21.112
barjamessmith@qatar.io - 115.242.94.153
delata_ecobank@web2mail.com - 202.58.64.18
junhuan9@yahoo.cn - 68.190.243.51
fairlandindustryltd@mail.ru - 41.138.190.213
shkhougal@aol.com - 80.35.222.9
jamestimeswel@rogers.com - 203.170.192.4
alimubarakhm@hotmail.com - 115.134.5.245
godwinemefiele2010@hotmail.com - 41.211.229.65
skyebankplclagosnigera@gmail.com, skyebankplclagosnigera@zapak.com - 41.138.178.241
contact.alcchmb@sify.com - 116.206.153.50
officelottery94@yahoo.com.hk - 124.122.145.226
kadamluk@live.com - 41.217.65.14
garycarsonuk@w.cn - 220.225.213.221
stella_willson48@yahoo.co.uk - 82.196.5.120
trustlink@w.cn - 87.118.82.8
george201009@hotmail.com - 59.120.137.197
drmannsurmuhtarrr_155@yahoo.cn, mrstreasurecollinnsss@gmail.com - 82.114.78.222

Dancho Danchev

Historical OSINT - Rogue Scareware Dropping Campaign Spotted in the Wild Courtesy of the Koobface Gang

It's 2010 and I've recently came across to a diverse portfolio of fake security software also known as scareware courtesy of the Koobface gang in what appears to be a direct connection between the gang's activities and the Russian Business Network.

In this post I'll provide actionable intelligence on the infrastructure behind it and discuss in-depth the tactics techniques and procedures of the cybercriminals behind including the direction establishment of a direct connection between the gang's activities and a well-known Russian Business Network customer.

Related malicious domains known to have participated in the campaign:
hxxp://piremover.eu/hitin.php?affid=02979 - 212.117.161.142; 95.211.27.154; 95.211.27.166

Once executed a sample malware (MD5: eedac4719229a499b3118f87f32fae35) phones back to the following malicious C&C server IPs:
hxxp://xmiueftbmemblatlwsrj.cn/get.php?id=02979 - 91.207.116.44 - Email: robertsimonkroon@gmail.com

Known domains known to have responded to the same malicious C&C server IPs:
hxxp://aahsdvsynrrmwnbmpklb.cn
hxxp://dlukhonqzidfpphkbjpb.cn
hxxp://barykcpveiwsgexkitsg.cn
hxxp://bfichgfqjqrtkwrsegoj.cn
hxxp://dhbomnljzgiardzlzvkp.cn

Once executed a sample malware phones back to the following malicious C&C service IPs:
hxxp://xmiueftbmemblatlwsrj.cn
hxxp://urodinam.net - which is a well known Koobface 1.0 C&C server domain IP also seen in the "Mass DreamHost Sites Compromise" exclusively profiled in this post.
hxxp://xmiueftbmemblatlwsrj.cn

Once executed a sample malware MD5: 66dc85ad06e4595588395b2300762660; MD5: 91944c3ae4a64c478bfba94e9e05b4c5 phones back to the following malicious C&C server IPs:
hxxp://proxim.ntkrnlpa.info - 83.68.16.30 - seen and observed in related analysis regarding the mass Embassy Web site compromise throughout 2007 and 2009.

Successfully dropping the following malicious Koobface MD5 hxxp://harmonyhudospa.se/.sys/?getexe=fb.70.exe

Related malicious MD5s (MD known to have participated in the campaign:
MD5: 66dc85ad06e4595588395b2300762660
MD5: 8282ea8e92f40ee13ab716daf2430145

Once executed a sample malware phones back to the following malicious C&C server IPs:
hxxp://tehnocentr.chita.ru/.sys
hxxp://gvpschekschov.iv-edu.ru/.sys/?action=fbgen

We'll continue monitoring the campaign and post updates as soon as new developments take place.

Dancho Danchev

Historical OSINT - Massive Blackhat SEO Campaign Spotted in the Wild - Part Two

This summary is not available. Please click here to view the post.

Dancho Danchev

Historical OSINT - Massive Blackhat SEO Campaign Spotted in the Wild

It's 2008 and I recently came across to a pretty decent portfolio of rogue and fraudulent malicious scareware-serving domains successfully acquiring traffic through a variety of black hat SEO techniques in this particular case the airplane crash of the Polish president.

Related malicious domains known to have participated in the campaign:
hxxp://sarahscandies.com
hxxp://armadasur.com
hxxp://gayribisi.com
hxxp://composerjohnbeal.com
hxxp://preferredtempsinc.com
hxxp://ojaivalleyboys.com
hxxp://homelinkmag.com
hxxp://worldwidestones.com
hxxp://silsilaqasmia.com
hxxp://vidoemo.com
hxxp://channhu.com
hxxp://ideasenfoco.com

Related malicious domains known to have participated in the campaign:
hxxp://homeownersmoneysaver.com
hxxp://preferredtempsinc.com
hxxp://sarahscandies.com
hxxp://channhu.com
hxxp://intheclub.com
hxxp://internetcabinetsdirect.com
hxxp://silentservers.com
hxxp://ojaivalleyboys.com

Related malicious domains known to have participated in the campaign:
hxxp://indigo-post.com
hxxp://jacksonareadiscgolf.com

Related malicious domains known to have participated in the campaign:
hxxp://werodink.com
hxxp://jingyi-plastic.com
hxxp://impressionsphotographs.com

Sample URL redirection chain:
hxxp://cooldesigns4u.co.uk/sifr.php
- hxxp://visittds.com/su/in.cgi?2 - 213.163.89.55 - Email: johnvernet@gmail.com
- hxxp://scaner24.org/?affid=184 - 91.212.127.19 - Email: bobarter@xhotmail.net

Redirectors parked on 213.163.89.55 (AS49544, INTERACTIVE3D-AS Interactive3D) include:
hxxp://google-analyze.org
hxxp://alioanka.com
hxxp://robokasa.com
hxxp://thekapita.com
hxxp://rbomce.com
hxxp://kolkoman.com
hxxp://nikiten.com
hxxp://rokobon.com
hxxp://odile-marco.com
hxxp://ramualdo.com
hxxp://omiardo.com
hxxp://nsfer.com
hxxp://racotas.com
hxxp://foxtris.com
hxxp://mongoit.com
hxxp://mangasit.com
hxxp://convart.com
hxxp://baidustatz.com
hxxp://google-analyze.cn
hxxp://statanalyze.cn
hxxp://reycross.cn
hxxp://m-analytics.net
hxxp://yahoo-analytics.net

We've already seen hxxp://google-analyze.org and hxxp://yahoo-analytics.net in several related mass compromise of related Embassy Web Sites.

We'll continue monitoring the campaign and post updates as new developments take place.

Dancho Danchev