'n E-pos het my gelei om een ​​van die grootste PHISHING-veldtogte van die oomblik te ondersoek!

'n E-pos het my gelei om een ​​van die grootste PHISHING-veldtogte van die oomblik te ondersoek!

05/02/2026

Outeur: Juan Mathews Rebello Santos

1. UITVOERENDE OPSOMMING

Hierdie tegniese verslag dokumenteer die forensiese ondersoek wat deur my gedoen is na ontvangs van 'n bedrieglike e-pos met 'n beweerde pryskennisgewing en hangende finansiële deposito. Die ontleding het 'n gesofistikeerde kuberkriminele infrastruktuur aan die lig gebring wat uitvissing, bangmaakware en geaffilieerde bedrogveldtogte op 'n internasionale skaal bedryf.

Tydens die ondersoek het ek 'n ketting van herleidings geïdentifiseer wat bestaan uit:

  • elektroniese strooipos met sosiale ingenieurswese;
  • misbruik van Cloudflare Pages-infrastruktuur;
  • verbintenis van staatswerknemers in die Demokratiese Republiek van die Kongo;
  • Bevel- en Beheer-infrastruktuur (C2);
  • gebruik van Domain Generation Algorithm (DGA);
  • Wildcard SSL-sertifikate;
  • en monetisering deur Norton/Gen Digital-geaffilieerde programme via Impact Radius.

Die operasie demonstreer 'n hoë vlak van tegniese professionaliteit, ontduiking teen analise en outomatisering van kwaadwillige veldtogte.

2. OORSPRONG VAN DIE ONDERSOEK

Die ondersoek het begin nadat ek 'n duidelik vervalste e-pos ontvang het wat na die adres gestuur is:

[email protected]

Die onderwerp van die boodskap was:

Prys kode

Die inhoud van die e-pos het Arabiese teks gemeng met boodskappe van finansiële dringendheid, 'n strategie wat gebruik word om teen-spam-filters te verhinder en die voorkoms van legitimiteit te verhoog.

Geïdentifiseerde uittreksel:

شكراً على مشاركتك في المسابقة
يرجى الاحتفاظ بالكود للمراجعة عند السحب

Geskatte vertaling:

“Dankie dat jy aan die kompetisie deelgeneem het.
Hou asseblief die kode vir verifikasie tydens die trekking.”

Die boodskap het ook 'n veronderstelde promosiekode bevat:

Kode: 9132289937520370

Die eintlike doel van die e-pos was egter om die gebruiker te mislei om op 'n kwaadwillige skakel te klik wat in die middel van die boodskap geplaas is:

⚠️ Dringend: Jou deposito van $3,639.00 is opgehou. Bevestig nou:
https://obs.regideso.cd/?8nqrpm

Die inhoud het ook my e-posadres vertoon om 'n gevoel van verpersoonliking en legitimiteit by te voeg:

[email protected]

Ontleding het getoon dat die e-pos gebou is om te kombineer:

  • vals toekennings;
  • finansiële dringendheid;
  • vreemde taal;
  • sosiale ingenieurswese;
  • en gedeeltelike verberging van die bedrogspul.

Die doel was om die slagoffer te oorreed om dadelik te klik.

3. KWAADLIKE HULLE KETTING

Wanneer toegang tot die skakel verkry word:

https://obs.regideso.cd/?8nqrpm

Ek het geïdentifiseer dat die domein slegs as 'n intermediêre aflos binne die operasie funksioneer.

Die volledige vloei wat tydens die ondersoek waargeneem is, was:

E-pos strooipos
↓
obs.regideso.cd
↓
linne-werf-rivier.pages.dev
↓
Ewekansige subdomeine van yandehyto.com
↓
Scareware/phishing-einddomeine

Van die eindbestemmings wat geïdentifiseer is, was:

  • pelnoriva.shop
  • baleidiste.com
  • phidatharacce.com

Hierdie argitektuur demonstreer 'n professionele ketting van infrastruktuurverduistering, wat opsporing, outomatiese blokkering en forensiese ontleding moeilik maak.

4. TOEGEWE RELAIS ANALISE

Die domein:

obs.regideso.cd

opgelos na die IP:

161.35.30.54

aangebied op DigitalOcean-infrastruktuur.

Die bate het gelyk of dit aan die openbare watervoorsieningsmaatskappy van die Demokratiese Republiek van die Kongo behoort:

  • REGIDESO SA

Tydens die ontleding van die webomgewing het ek geïdentifiseer:

  • ongemagtigde PHP-lêers;
  • skrifte wat as herleidings optree;
  • Laravel omgewing blootstelling;
  • backend wat in ontfoutingsmodus werk.

Waargenome lêers:

  • info.php
  • index.php

Absolute interne bedienerpaaie is ook blootgestel:

C:\api-factures\api-factures\

Die blootstelling van hierdie inligting bevestig ernstige verhardingsfoute en onveilige konfigurasie van die Laravel-raamwerk.

5. BELEID EN BEHEER INFRASTRUKTUUR (C2)

Die kern van die operasie is gesentraliseer op 'n bediener wat soos volg werk:

  • sentrale herleier;
  • klik spoorsnyer;
  • monetiseringspoort;
  • en veldtogbeheerder.

Eindpunt geïdentifiseer:

/klik.php

6. ONTWIKKELINGSTEGNIEKE

6.1 Omhulsel teen analise

Ek het geïdentifiseer dat die bediener aktiewe cloaking geïmplementeer het teen:

  • navorsers;
  • outomatiese skandeerders;
  • Datasentrum-IP's;
  • gereedskap soos krul en Nmap.

Toe dit 'n verdagte omgewing bespeur, het die bediener gereageer met:

HTTP/1.1 302Gevind
Plek: http://yahoo.com/

of:

Plek: http://google.com/

Hierdie tegniek verminder die blootstelling van die kwaadwillige bestemmingsbladsy aan sekuriteitstelsels drasties.

6.2 DGA en Wildcard DNS

Tydens die ondersoek het ek uitgebreide gebruik van Wildcard DNS in die domein geïdentifiseer:

yandehyto.com

Enige ewekansige subdomein is korrek opgelos na die C2-bediener.

Geïdentifiseerde voorbeelde:

  • q5tzrz.yandehyto.com
  • sj9k9f.yandehyto.com
  • whonou.yandehyto.com

Hierdie tegniek laat oneindige rotasie van URL's toe sonder dat dit nodig is om nuwe domeine te registreer.

6.3 Wildcard SSL-sertifikate

Die operateur het geldige Wildcard-sertifikate gebruik wat deur Let's Encrypt uitgereik is:

*.yandehyto.com

Dit het geldige HTTPS vir alle dinamies gegenereerde subdomeine toegelaat, wat die geloofwaardigheid van die bedrogspul verhoog het.

7. PAYLOAD SCARWARE ANALISE

Na die herleidings is die slagoffer herlei na bladsye wat by:

  • pelnoriva.shop
  • baleidiste.com
  • phidatharacce.com

Hierdie bladsye het kwaadwillige JavaScript uitgevoer wat die koppelvlak van:

  • McAfee Total Protection

Die kode bevat funksies soos:

begin_sirkelProgress()

wat vals antivirus-skanderings gesimuleer en nie-bestaande bedreigings vertoon het:

  • Win32/Hoax.Renos.HX
  • Trojaanse IRC/Backdor.Sd.FRV

Ek het ook geïdentifiseer:

  • gebruik van die FullScreen API;
  • navigasie blokkering;
  • oortjie fokus vaslegging;
  • onderskepping van onbeforeunload.

Die doel was om sielkundige druk te genereer om die slagoffer te oorreed om dadelik antivirus te koop.

8. GEaffilieerde bedrog

Finale monetisering het plaasgevind deur herleidings na wettige bladsye vanaf:

NortonLifeLock Gen Digitale

Die veldtog het die geaffilieerde platform misbruik:

  • Impak radius

Identifiseerders gevind:

Vennoot ID: 3076190
Veldtog ID: 4405

Die bedryfsmodel het die vrees wat deur scareware veroorsaak word, in finansiële kommissie omskep.

9. FORENSIESE BEWYSE

HTTP-herleiding

HTTP/1.1 302 gevind
Bediener: nginx/1.28.0
Datum: Vr, 01 Mei 2026 20:12:37 GMT
Plek: https://sj9k9f.yandehyto.com/click.php?lp=1&uclick=d7qg...

Verhulbespeuring:

[Opsporing geaktiveer] -> Herlei na http://yahoo.com/

SSL-sertifikaat

diepte=0 CN = yandehyto.com

X509v3 Onderwerp Alternatiewe Naam:
DNS:*.yandehyto.com
DNS:yandehyto.com

Uitreiker:
C = VSA
O = Kom ons Enkripteer
CN = E7

10. AANWYSERS VAN VERBINTENIS (IOC's)

IP's

  • 161.35.30.54

Domeine

  • smilingtooth.com.sa
  • obs.regideso.cd
  • linen-wharf-river.pages.dev
  • yandehyto.com
  • baleidiste.com
  • phidatharacce.com
  • pelnoriva.shop
  • pelnoriva.pelnoriva.shop

DGA-subdomeine

  • q5tzrz.yandehyto.com
  • sj9k9f.yandehyto.com
  • whonou.yandehyto.com

Geaffilieerde ID's

Impak Radius Vennoot ID: 3076190
Veldtog ID: 4405

11. GEVOLGTREKKING

Op grond van die hele ondersoek wat gedoen is, het ek tot die gevolgtrekking gekom dat die geanaliseerde veldtog 'n hoogs professionele kuberkriminele operasie verteenwoordig, deur gebruik te maak van:

  • uitvissing;
  • bangmaakware;
  • verhul;
  • DGA;
  • misbruik van wettige infrastruktuur;
  • geaffilieerde bedrog;
  • en gekompromitteerde derdeparty-bedieners.

Die operasie toon sterk tegniese kapasiteit in:

  • ontduiking teen analise;
  • sosiale ingenieurswese;
  • bedrieglike monetisering;
  • veldtog outomatisering;
  • en infrastruktuur verberging.

12. BETROUBARE VERWYSINGS EN ONTLEDING VAN URL's

Hieronder is die skakels wat die ontleding van domeine en URL's op bedreigingsintelligensieplatforms bewys.

VirusTotal

AlienVault OTX

Misbruik IPDB

Censys

Sekuriteitsroetes

urlscan.io

Shodan

Let wel: Kwaadwillige aktiwiteite en aanwysers van kompromie is reeds by die toepaslike owerhede aangemeld.