E-mail mě přivedl k tomu, abych prozkoumal jednu z největších PHSHING kampaní současnosti!

05.02.2026

Autor: Juan Mathews Rebello Santos

1. SHRNUTÍ

Tato technická zpráva dokumentuje forenzní vyšetřování, které jsem provedl po obdržení podvodného e-mailu obsahujícího údajné oznámení o výhře a čekající finanční zálohu. Analýza odhalila sofistikovanou infrastrukturu kyberzločinců provozující phishing, scareware a přidružené podvodné kampaně v mezinárodním měřítku.

Během vyšetřování jsem identifikoval řetězec přesměrování sestávající z:

elektronický spam se sociálním inženýrstvím;
zneužívání infrastruktury Cloudflare Pages;
angažovanost vládních zaměstnanců v Demokratické republice Kongo;
Infrastruktura velení a řízení (C2);
použití Domain Generation Algorithm (DGA);
Wildcard SSL certifikáty;
a zpeněžení prostřednictvím affiliate programů Norton/Gen Digital prostřednictvím Impact Radius.

Operace prokazuje vysokou úroveň technické profesionality, antianalytické úniky a automatizaci škodlivých kampaní.

2. PŮVOD ŠETŘENÍ

Vyšetřování začalo poté, co jsem obdržel jasně podvržený e-mail odeslaný na adresu:

[email protected]

Předmět zprávy byl:

Výherní kód

Obsah e-mailu mísil arabský text se zprávami finanční naléhavosti, což je strategie používaná k zabránění filtrům proti spamu a zvýšení zdání legitimity.

Identifikovaný úryvek:

شكراً على مشاركتك في المسابقة
يرجى الاحتفاظ بالكود للمراجعة عند السحب

Přibližný překlad:

„Děkuji za účast v soutěži.
Uschovejte si kód pro ověření během losování.“

Zpráva také obsahovala údajný propagační kód:

Kód: 9132289937520370

Skutečným cílem e-mailu však bylo přimět uživatele, aby klikl na škodlivý odkaz vložený doprostřed zprávy:

⚠️ Naléhavé: Váš vklad 3 639,00 $ je pozastaven. Potvrďte nyní:
https://obs.regideso.cd/?8nqrpm

V obsahu se také zobrazila moje e-mailová adresa, abych dodal pocit přizpůsobení a legitimity:

[email protected]

Analýza ukázala, že e-mail byl vytvořen tak, aby kombinoval:

falešná ocenění;
finanční naléhavost;
cizí jazyk;
sociální inženýrství;
a částečné zatajení podvodu.

Cílem bylo přimět oběť, aby okamžitě klikla.

3. ŠKODLIVÝ ŘETĚZ PRO PŘESMĚROVÁNÍ

Při přístupu na odkaz:

https://obs.regideso.cd/?8nqrpm

Zjistil jsem, že doména fungovala pouze jako zprostředkující relé v rámci operace.

Kompletní tok pozorovaný během vyšetřování byl:

E-mailový spam
↓
obs.regideso.cd
↓
prádlo-přístaviště-řeka.pages.dev
↓
Náhodné subdomény yandehyto.com
↓
Scareware/phishing koncové domény

Mezi identifikovanými konečnými destinacemi byly:

pelnoriva.shop
baleiddiste.com
phidatharacce.com

Tato architektura demonstruje profesionální řetězec zmatení infrastruktury, což ztěžuje sledování, automatické blokování a forenzní analýzu.

4. ZAPUŠTĚNÁ ANALÝZA RELÉ

doména:

obs.regideso.cd

vyřešeno na IP:

161.35.30.54

hostované na infrastruktuře DigitalOcean.

Zdá se, že majetek patří veřejné vodárenské společnosti Demokratické republiky Kongo:

REGIDESO SA

Během analýzy webového prostředí jsem identifikoval:

neautorizované soubory PHP;
skripty fungující jako přesměrovače;
expozice prostředí Laravel;
backend pracující v režimu ladění.

Pozorované soubory:

info.php
index.php

Byly také odhaleny absolutní vnitřní cesty serveru:

C:\api-factures\api-factures\

Zveřejnění těchto informací potvrzuje vážné nedostatky a nejistou konfiguraci rámce Laravel.

5. INFRASTRUKTURA VELENÍ A ŘÍZENÍ (C2)

Jádro operace bylo centralizováno na serveru fungujícím jako:

centrální přesměrovač;
sledovač prokliků;
monetizační brána;
a správce kampaní.

Identifikovaný koncový bod:

/click.php

6. ÚNIKOVÉ TECHNIKY

6.1 Maskování proti analýze

Zjistil jsem, že server implementoval aktivní maskování proti:

výzkumníci;
automatické skenery;
IP adresy datových center;
nástroje jako curl a Nmap.

Když server zjistil podezřelé prostředí, odpověděl:

HTTP/1.1 302Nalezeno
Umístění: http://yahoo.com/

nebo:

Umístění: http://google.com/

Tato technika drasticky snižuje vystavení škodlivé vstupní stránky bezpečnostním systémům.

6.2 DGA a zástupný DNS

Během vyšetřování jsem identifikoval rozsáhlé používání Wildcard DNS v doméně:

yandehyto.com

Jakákoli náhodná subdoména správně přeložena na server C2.

Identifikované příklady:

q5tzrz.yandehyto.com
sj9k9f.yandehyto.com
whonou.yandehyto.com

Tato technika umožňuje nekonečnou rotaci URL bez nutnosti registrace nových domén.

6.3 Zástupné SSL certifikáty

Provozovatel použil platné certifikáty Wildcard vydané společností Let's Encrypt:

*.yandehyto.com

To umožnilo platný HTTPS pro všechny dynamicky generované subdomény, což zvýšilo důvěryhodnost podvodu.

7. ANALÝZA NÁKLADU SCAREWARE

Po přesměrování byla oběť přesměrována na stránky hostované na adrese:

pelnoriva.shop
baleiddiste.com
phidatharacce.com

Tyto stránky spustily škodlivý JavaScript simulující rozhraní:

McAfee Total Protection

Kód obsahoval funkce jako:

start_circleProgress()

které simulovaly falešné antivirové kontroly a zobrazovaly neexistující hrozby:

Win32/Hoax.Renos.HX
Trojský IRC/Backdor.Sd.FRV

Také jsem identifikoval:

použití FullScreen API;
blokování navigace;
zachycení ostření karty;
zachycení onbeforeunload.

Cílem bylo vyvolat psychologický nátlak, aby oběť přiměla k okamžité koupi antiviru.

8. PARTNERSKÝ PODVOD

Ke konečnému zpeněžení došlo prostřednictvím přesměrování na legitimní stránky z:

NortonLifeLock *Gen Digital

Kampaň zneužila affiliate platformu:

Poloměr dopadu

Nalezené identifikátory:

ID partnera: 3076190
ID kampaně: 4405

Provozní model převedl strach vyvolaný scarewarem na finanční provizi.

9. FORENZNÍ DŮKAZY

Přesměrování HTTP

HTTP/1.1 302 Nalezeno
Server: nginx/1.28.0
Datum: pá, 01. května 2026 20:12:37 GMT
Umístění: https://sj9k9f.yandehyto.com/click.php?lp=1&uclick=d7qg...

Detekce maskování:

[Detekce spuštěna] -> Přesměrování na http://yahoo.com/

Certifikát SSL

hloubka=0 CN = yandehyto.com

X509v3 Alternativní název předmětu:
DNS:*.yandehyto.com
DNS:yandehyto.com

Vydavatel:
C = USA
O = Let's Encrypt
CN = E7

10. UKAZATELE ODPOVĚDNOSTI (IOC)

IP adresy

"161.35.30.54".

Domény

smilingtooth.com.sa
obs.regideso.cd
len-wharf-river.pages.dev
yandehyto.com
baleiddiste.com
phidatharacce.com
pelnoriva.shop
pelnoriva.pelnoriva.shop

Subdomény DGA

q5tzrz.yandehyto.com
sj9k9f.yandehyto.com
whonou.yandehyto.com

ID přidružených společností

Impact Radius Partner ID: 3076190
ID kampaně: 4405

11. ZÁVĚR

Na základě celého provedeného šetření jsem dospěl k závěru, že analyzovaná kampaň představuje vysoce profesionální kyberzločineckou operaci s využitím:

phishing;
strašák;
maskování;
DGA;
abuse of legitimate infrastructure;
affiliate podvody;
and compromised third-party servers.

Operace prokazuje silnou technickou kapacitu v:

vyhýbání se analýze;
sociální inženýrství;
fraudulent monetization;
automatizace kampaní;
and infrastructure concealment.

12. RELIABLE REFERENCES AND ANALYSIS OF URLS

Níže jsou uvedeny odkazy, které dokazují analýzu domén a adres URL na platformách pro informace o hrozbách.

VirusTotal

https://www.virustotal.com/gui/domain/obs.regideso.cd
[https://www.virustotal.com/gui/url/3545ac05fc6a737918d3e0d5953b61547602a797a33f8fb6addaedc21667c39f?nocache=1] (https://www.virustotal.com/gui/url/3545ac05fc6a737918d3e0d5953b61547602a797a33f8fb6addaedc21667c39f?nocache=1)
https://www.virustotal.com/gui/domain/linen-wharf-river.pages.dev
https://www.virustotal.com/gui/domain/yandehyto.com
https://www.virustotal.com/gui/search?query=q5tzrz.yandehyto.com
https://www.virustotal.com/gui/search?query=sj9k9f.yandehyto.com
https://www.virustotal.com/gui/search?query=whonou.yandehyto.com
https://www.virustotal.com/gui/domain/baleiddiste.com
https://www.virustotal.com/gui/domain/phidatharacce.com
https://www.virustotal.com/gui/domain/pelnoriva.shop
https://www.virustotal.com/gui/domain/pelnoriva.pelnoriva.shop

AlienVault OTX

https://otx.alienvault.com/indicator/url/https://obs.regideso.cd/?8nqrpm

ZneužitíIPDB

https://www.abuseipdb.com/check/161.35.30.54

Censys

SecurityTrails

urlscan.io

Shodan

Poznámka: Škodlivé aktivity a náznaky ohrožení již byly nahlášeny příslušným úřadům.