Alguém reconhece esse e-mail sniffer ou malware usando a codificação ROT13?

5

Eu tenho um site particular que toda semana envia e-mails com dois links http diferentes para um grupo de cerca de 30 pessoas. Quando um link é clicado, a resposta é registrada em um banco de dados. A partir da semana passada, um dos links do destinatário é seguido automaticamente por um sniffer de rede ou algum malware no computador do destinatário.

Cada e-mail é enviado individualmente, pois os links contêm o endereço de e-mail de cada destinatário:

Yes, I will attend:
http://mywebsite.com/[email protected]&answer=yes

No, I can't attend:
http://mywebsite.com/[email protected]&answer=no

Cerca de 20 minutos após o envio do e-mail, recebo a seguinte solicitação no meu site:

UserHostName: 209.133.77.166
UserHostAddress: 209.133.77.166
UserAgent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2; MS-RTC LM 8)
Browser: IE 7.0
Platform: WinXP
HttpMethod: GET
Path: /default.aspx
Url: http://mywebsite.com/default.aspx?answer=ab&[email protected]
UrlReferrer: 

Há algumas coisas estranhas a serem observadas aqui:

  • O endereço de email e a resposta são codificados em ROT13 (mas não nos nomes dos parâmetros).
  • A ordem dos parâmetros está invertida.
  • Apenas o segundo link, com resposta = não, é seguido.

Além disso:

  • Os campos Endereço IP, UserAgent, Navegador e Plataforma não correspondem aos do computador do destinatário (mas podem ser falsificados, é claro).
  • O endereço IP usado na semana passada foi 209.133.77.167. Ambos os endereços parecem ser alocados dinamicamente no domínio above.net, a execução de um tracert produz o nome do host 209.133.77.166.T01713-01.above.net.
  • Verificando os cabeçalhos de e-mail, o e-mail foi enviado do meu web hotel binero.net via messagelabs.com para o servidor de e-mail do destinatário.
  • É apenas esse único destinatário com esses problemas.

Alguém reconhece o padrão de seguir links de e-mail e codificar os parâmetros com ROT13?

    
por Anlo 04.02.2014 / 14:41

1 resposta

7

Hah, 5 minutos depois de postar a pergunta, eu mesmo encontrei a resposta. Já aconteceu isso com você? : -)

link

Essencialmente:

It took a few calls with AboveNet (now part of Zayo), but we were finally able to determine that one of their customers is an anti-malware firm based in the UK, providing services to two of our common customers. They were scanning all incoming emails and probing any hyperlinks to identify potential hazards and/or vulnerabilities in the destinations.

    
por 04.02.2014 / 14:59

Tags