Eine E-Mail veranlasste mich, eine der derzeit größten PHISHING-Kampagnen zu untersuchen!
05.02.2026
Autor: Juan Mathews Rebello Santos
1. ZUSAMMENFASSUNG
Dieser technische Bericht dokumentiert die von mir durchgeführte forensische Untersuchung nach Erhalt einer betrügerischen E-Mail mit einer angeblichen Gewinnbenachrichtigung und einer ausstehenden finanziellen Einzahlung. Die Analyse ergab eine hochentwickelte Infrastruktur der Cyberkriminellen, die Phishing-, Scareware- und Affiliate-Betrugskampagnen auf internationaler Ebene betreibt.
Während der Untersuchung habe ich eine Kette von Weiterleitungen identifiziert, bestehend aus:
- elektronischer Spam mit Social Engineering;
- Missbrauch der Cloudflare Pages-Infrastruktur;
- Engagement von Regierungsmitarbeitern in der Demokratischen Republik Kongo;
- Befehls- und Kontrollinfrastruktur (C2);
- Verwendung des Domain Generation Algorithm (DGA);
- Wildcard-SSL-Zertifikate;
- und Monetarisierung durch Norton/Gen Digital-Partnerprogramme über Impact Radius.
Die Operation zeigt ein hohes Maß an technischer Professionalität, Anti-Analyse-Umgehung und Automatisierung bösartiger Kampagnen.
2. URSPRUNG DER UNTERSUCHUNG
Die Untersuchung begann, nachdem ich eine eindeutig gefälschte E-Mail an folgende Adresse erhalten hatte:
„Text [email protected] „
Der Betreff der Nachricht war:
„Text Preiscode „
Der Inhalt der E-Mail vermischte arabischen Text mit Nachrichten über finanzielle Dringlichkeit, eine Strategie, die verwendet wurde, um Anti-Spam-Filter zu behindern und den Anschein von Legitimität zu verstärken.
Identifizierter Auszug:
„Text شكراً على مشاركتك في المسابقة يرجى الاحتفاظ بالكود للمراجعة عند السحب „
Ungefähre Übersetzung:
„Text „Vielen Dank für Ihre Teilnahme am Wettbewerb. Bitte bewahren Sie den Code zur Überprüfung während der Ziehung auf.“ „
The message also featured a supposed promotional code:
„Text Code: 9132289937520370 „
Das eigentliche Ziel der E-Mail bestand jedoch darin, den Benutzer dazu zu verleiten, auf einen schädlichen Link in der Mitte der Nachricht zu klicken:
„Text ⚠️ Dringend: Ihre Einzahlung in Höhe von 3.639,00 $ wird zurückgestellt. Jetzt bestätigen: https://obs.regideso.cd/?8nqrpm „
Im Inhalt wurde auch meine E-Mail-Adresse angezeigt, um ein Gefühl der Personalisierung und Legitimität zu vermitteln:
„Text [email protected] „
Die Analyse ergab, dass die E-Mail Folgendes kombiniert:
- gefälschte Auszeichnungen;
- finanzielle Dringlichkeit;
- Fremdsprache;
- Social Engineering;
- und teilweise Verschleierung des Betrugs.
Ziel war es, das Opfer zum sofortigen Klicken zu bewegen.
3. SCHÄDLICHE WEITERLEITUNGSKETTE
Beim Zugriff auf den Link:
„Text https://obs.regideso.cd/?8nqrpm „
Ich habe festgestellt, dass die Domäne nur als Zwischenrelais innerhalb des Vorgangs fungierte.
Der während der Untersuchung beobachtete Gesamtfluss war:
„Text E-Mail-Spam ↓ obs.regideso.cd ↓ Linen-Wharf-River.pages.dev ↓ Zufällige Subdomains von yandehyto.com ↓ Scareware-/Phishing-Enddomänen „
Zu den endgültig identifizierten Zielen gehörten:
pelnoriva.shopbaleiddiste.comphidatharacce.com
Diese Architektur demonstriert eine professionelle Kette der Infrastrukturverschleierung, die Nachverfolgung, automatisierte Blockierung und forensische Analyse erschwert.
4. Engagierte Relaisanalyse
Die Domäne:
„Text obs.regideso.cd „
auf die IP aufgelöst:
„Text 161.35.30.54 „
gehostet auf der DigitalOcean-Infrastruktur.
Der Vermögenswert schien dem öffentlichen Wasserversorgungsunternehmen der Demokratischen Republik Kongo zu gehören:
- REGIDESO SA
Bei der Analyse der Webumgebung habe ich Folgendes identifiziert:
- nicht autorisierte PHP-Dateien;
- scripts acting as redirectors;
- Exposition gegenüber Laravel-Umgebungen;
- Backend im Debug-Modus.
Beobachtete Dateien:
info.phpindex.php
Es wurden auch absolute interne Serverpfade offengelegt:
„Text C:\api-factures\api-factures\ „
Die Offenlegung dieser Informationen bestätigt schwerwiegende Härtungsmängel und eine unsichere Konfiguration des Laravel-Frameworks.
5. KOMMANDO- UND KONTROLLINFRASTRUKTUR (C2)
Der Kern des Betriebs wurde auf einem Server zentralisiert, der wie folgt operierte:
- zentraler Redirector;
- Klick-Tracker;
- Monetarisierungs-Gateway;
- und Kampagnencontroller.
Endpunkt identifiziert:
„Text /click.php „
6. Ausweichtechniken
6.1 Cloaking gegen Analyse
Ich habe festgestellt, dass der Server aktives Cloaking implementiert hat gegen:
- Forscher;
- automatisierte Scanner;
- Rechenzentrums-IPs;
- Tools wie „curl“ und „Nmap“.
Als er eine verdächtige Umgebung erkannte, antwortete der Server mit:
„http HTTP/1.1 302Gefunden Standort: http://yahoo.com/ „
oder:
„http Standort: http://google.com/ „
Diese Technik reduziert die Gefährdung der bösartigen Zielseite durch Sicherheitssysteme drastisch.
6.2 DGA und Wildcard-DNS
Während der Untersuchung stellte ich fest, dass in der folgenden Domain in großem Umfang Wildcard-DNS verwendet wird:
„Text yandehyto.com „
Jede zufällige Subdomain wurde korrekt auf den C2-Server aufgelöst.
Identifizierte Beispiele:
q5tzrz.yandehyto.comsj9k9f.yandehyto.comwhonou.yandehyto.com
Diese Technik ermöglicht eine unbegrenzte Rotation von URLs, ohne dass neue Domains registriert werden müssen.
6.3 Wildcard-SSL-Zertifikate
Der Betreiber verwendete gültige Wildcard-Zertifikate von Let's Encrypt:
„Text *.yandehyto.com „
Dies ermöglichte gültiges HTTPS für alle dynamisch generierten Subdomains, was die Glaubwürdigkeit des Betrugs erhöhte.
7. SCAREWARE-ANALYSE DER NUTZLAST
Nach den Weiterleitungen wurde das Opfer auf folgende Seiten weitergeleitet:
pelnoriva.shopbaleiddiste.comphidatharacce.com
Auf diesen Seiten wurde bösartiges JavaScript ausgeführt, das die Schnittstelle von Folgendem simulierte:
- McAfee Total Protection
Der Code enthielt Funktionen wie:
„Javascript start_circleProgress() „
das simulierte gefälschte Antiviren-Scans und zeigte nicht vorhandene Bedrohungen an:
Win32/Hoax.Renos.HX- „Trojaner IRC/Backdor.Sd.FRV“.
Ich habe außerdem festgestellt:
- Nutzung der FullScreen API;
- Navigationsblockierung;
- Tab-Fokus-Erfassung;
- Abfangen von „onbeforeunload“.
Ziel war es, psychologischen Druck zu erzeugen, um das Opfer zum sofortigen Kauf eines Antivirenprogramms zu bewegen.
8. Affiliate-Betrug
Die endgültige Monetarisierung erfolgte durch Weiterleitungen zu legitimen Seiten von:
NortonLifeLock Gen Digital
Die Kampagne missbrauchte die Affiliate-Plattform:
- Aufprallradius
Gefundene Bezeichner:
„Text Partner-ID: 3076190 Kampagnen-ID: 4405 „
Das Betriebsmodell wandelte die durch Scareware hervorgerufene Angst in finanzielle Provisionen um.
9. FORENSISCHE BEWEISE
HTTP-Umleitung
„http HTTP/1.1 302 gefunden Server: nginx/1.28.0 Datum: Fr, 01. Mai 2026 20:12:37 GMT Standort: https://sj9k9f.yandehyto.com/click.php?lp=1&uclick=d7qg... „
Cloaking-Erkennung:
„Text [Erkennung ausgelöst] -> Weiterleitung zu http://yahoo.com/ „
SSL-Zertifikat
„Text Tiefe = 0 CN = yandehyto.com
Alternativer Name des X509v3-Betreffs: DNS:*.yandehyto.com DNS:yandehyto.com
Emittent: C = USA O = Lass uns verschlüsseln CN = E7 „
10. INDIKATOREN DES ENGAGEMENTS (IOCs)
IPs
161.35.30.54
Domänen
smilingtooth.com.saobs.regideso.cdlinen-wharf-river.pages.devyandehyto.combaleiddiste.comphidatharacce.compelnoriva.shoppelnoriva.pelnoriva.shop
DGA-Subdomains
q5tzrz.yandehyto.comsj9k9f.yandehyto.comwhonou.yandehyto.com
Affiliate-IDs
„Text Impact Radius Partner-ID: 3076190 Kampagnen-ID: 4405 „
11. SCHLUSSFOLGERUNG
Basierend auf der gesamten durchgeführten Untersuchung kam ich zu dem Schluss, dass es sich bei der analysierten Kampagne um eine hochprofessionelle cyberkriminelle Operation handelte, bei der Folgendes zum Einsatz kam:
- Phishing;
- Scareware;
- Tarnung;
- DGA;
- Missbrauch legitimer Infrastruktur;
- Affiliate-Betrug;
- und kompromittierte Server von Drittanbietern.
Der Betrieb zeigt starke technische Leistungsfähigkeit in folgenden Bereichen:
- Anti-Analyse-Umgehung;
- Social Engineering;
- betrügerische Monetarisierung;
- Kampagnenautomatisierung;
- und Verschleierung der Infrastruktur.
12. ZUVERLÄSSIGE REFERENZEN UND ANALYSE VON URLS
Nachfolgend finden Sie die Links, die die Analyse von Domänen und URLs auf Threat-Intelligence-Plattformen belegen.
VirusTotal
- https://www.virustotal.com/gui/domain/obs.regideso.cd
- [https://www.virustotal.com/gui/url/3545ac05fc6a737918d3e0d5953b61547602a797a33f8fb6addaedc21667c39f?nocache=1] (https://www.virustotal.com/gui/url/3545ac05fc6a737918d3e0d5953b61547602a797a33f8fb6addaedc21667c39f?nocache=1)
- https://www.virustotal.com/gui/domain/linen-wharf-river.pages.dev
- https://www.virustotal.com/gui/domain/yandehyto.com
- https://www.virustotal.com/gui/search?query=q5tzrz.yandehyto.com
- https://www.virustotal.com/gui/search?query=sj9k9f.yandehyto.com
- https://www.virustotal.com/gui/search?query=whonou.yandehyto.com
- https://www.virustotal.com/gui/domain/baleiddiste.com
- https://www.virustotal.com/gui/domain/phidatharacce.com
- https://www.virustotal.com/gui/domain/pelnoriva.shop
- https://www.virustotal.com/gui/domain/pelnoriva.pelnoriva.shop
AlienVault OTX
AbuseIPDB
Censys
- https://search.censys.io/search?resource=hosts&q=baleiddiste.com
- https://search.censys.io/search?resource=hosts&q=linen-wharf-river.pages.dev
- https://search.censys.io/search?resource=hosts&q=pelnoriva.pelnoriva.shop
- https://search.censys.io/search?resource=hosts&q=pelnoriva.shop
- https://search.censys.io/search?resource=hosts&q=phidatharacce.com
- https://search.censys.io/search?resource=hosts&q=q5tzrz.yandehyto.com
- https://search.censys.io/search?resource=hosts&q=sj9k9f.yandehyto.com
- https://search.censys.io/search?resource=hosts&q=smilingtooth.com.sa
- https://search.censys.io/search?resource=hosts&q=whonou.yandehyto.com
- https://search.censys.io/search?resource=hosts&q=yandehyto.com
SecurityTrails
- https://securitytrails.com/domain/baleiddiste.com
- https://securitytrails.com/domain/linen-wharf-river.pages.dev
- https://securitytrails.com/domain/pelnoriva.pelnoriva.shop
- https://securitytrails.com/domain/pelnoriva.shop
- https://securitytrails.com/domain/phidatharacce.com
- https://securitytrails.com/domain/q5tzrz.yandehyto.com
- https://securitytrails.com/domain/sj9k9f.yandehyto.com
- https://securitytrails.com/domain/smilingtooth.com.sa
- https://securitytrails.com/domain/whonou.yandehyto.com
- https://securitytrails.com/domain/yandehyto.com
urlscan.io
- https://urlscan.io/search/#baleiddiste.com
- https://urlscan.io/search/#linen-wharf-river.pages.dev
- https://urlscan.io/search/#pelnoriva.pelnoriva.shop
- https://urlscan.io/search/#pelnoriva.shop
- https://urlscan.io/search/#phidatharacce.com
- https://urlscan.io/search/#q5tzrz.yandehyto.com
- https://urlscan.io/search/#sj9k9f.yandehyto.com
- https://urlscan.io/search/#smilingtooth.com.sa
- https://urlscan.io/search/#whonou.yandehyto.com
- https://urlscan.io/search/#yandehyto.com
Shodan
- https://www.shodan.io/search?query=baleiddiste.com
- https://www.shodan.io/search?query=linen-wharf-river.pages.dev
- https://www.shodan.io/search?query=pelnoriva.pelnoriva.shop
- https://www.shodan.io/search?query=pelnoriva.shop
- https://www.shodan.io/search?query=phidatharacce.com
- https://www.shodan.io/search?query=q5tzrz.yandehyto.com
- https://www.shodan.io/search?query=sj9k9f.yandehyto.com
- https://www.shodan.io/search?query=smilingtooth.com.sa
- https://www.shodan.io/search?query=whonou.yandehyto.com
- https://www.shodan.io/search?query=yandehyto.com
Hinweis: Böswillige Aktivitäten und Anzeichen einer Kompromittierung wurden bereits den zuständigen Behörden gemeldet.