lunedì 16 giugno 2008

Pishing UBI banca + R57

Non capita molto spesso che chi attiva un sito di phishing renda disponibile anche il probabile strumento utilizzato per crearlo sul sito attaccato, ma questa volta e' successo.

La mail di phishing ricevuta questa volta ai danni del Gruppo Bancario UBI riporta un messaggio leggermente diverso dai soliti.

Infatti si invita chi la riceve ad effettuare un login sul suo account UBI per eseguire un backup di documenti personali in quanto il sito verrebbe chiuso.

Il link presente punta link a sito russo

che al suo interno contiene, questa volta, uno script

che renindirizza al sito di phishing registrato su dominio .AR (Argentina) ma hostato su server USA e che tratta di allevamento di cani.
Questa la homepage:


Una analisi del folder che contiene il sito di phishing mostra alcune cartelle tra cui quella che contiene i dati riferiti alla falsa pagina QUI UBI che vediamo in dettaglio

ed un'altro folder che attira l'attenzione in quanto privo di nome

Una volta aperto questo folder ne contiene un altro simile che a sua volta mostra questo contenuto

Il file captcha.php in realta' non ha niente a che fare con il sistema utilizzato per filtrare il login di accesso ma e' invece il codice php di una shell di comandi e precisamente la R57 nella versione 1.3.

Questa shell di comandi permette di accedere ai dati contenuti nel sito da remoto ed eseguire varie operazioni sui folders e sui files presenti.
Probabilmente, in questo caso la R57 e' stata utilizzata per caricare il sito di phishing all'interno del sito .AR e potrebbe anche essere usata in seguito per acquisire eventuali files generati dal phishing e contenenti i codici personali di chi e' caduto nel tranello del falso sito.

Edgar

Nessun commento: