From: DHL Express (Poland) [mailto:biuro@nawigatorxxi.pl]
Sent: Monday, April 10, 2017 7:09 PM
To: [redacted]
Subject: Sprawdź stan przesylki DHL
Sprawdź stan przesylki DHL
Szanowny Kliencie, [redacted]
Informujemy, że w serwisie DHL24 zostało zarejestrowane zlecenie realizacji przesyłki, której jesteś odbiorcą.
Dane zlecenia:
- numer zlecenia:
9653788657
- data złożenia zlecenia:
poniedziałek, 10. kwietnia
Informacje o aktualnym statusie przesyłki znajdziesz na http://dhl24.com.pl/report.html&report=JavaScript&email=[redacted]. (JavaScript Raport)
Niniejsza wiadomość została wygenerowana automatycznie.
Dziękujemy za skorzystanie z naszych usług i aplikacji DHL24.
DHL Parcel (Poland)
UWAGA: Wiadomość ta została wygenerowana automatycznie. Prosimy nie odpowiadać funkcją Reply/Odpowiedz
The link goes to a malicious Javascript [example here] [Malwr report] which downloads a binary from:
freight.eu.com/download3696 (159.100.181.107 - World Wide Web Hosting LLC, Netherlands)
..this has a detection rate of 10/60. This Malwr report plus observed activity show traffic to the following IPs and ports:
5.196.73.150:443 (OVH, France)
31.220.44.11:8080 (HostHatch, Netherlands)
46.165.212.76:8080 (Leaseweb, Germany)
109.228.13.169:443 (Fasthosts, UK)
119.82.27.246:8080 (Tsukaeru.net, Japan)
173.230.137.155:8080 (Linode, US)
173.255.229.121:443 (Linode, US)
203.121.145.40:8080 (Pacific Internet, Thailand)
206.214.220.79:8080 (ServInt, US)
There may be other phone home locations not observed.
Recommended blocklist:
5.196.73.150
31.220.44.11
46.165.212.76
109.228.13.169
119.82.27.246
159.100.181.107
173.230.137.155
173.255.229.121
203.121.145.40
206.214.220.79
1 comment:
It can also pull the binary from:
willy.pro.br/download3299/
talk-of-the-tyne.co.uk/download1264/
societydead.org/download4971/
justinreid.com/download9160/
Post a Comment