Non capita molto spesso che chi attiva un sito di phishing renda disponibile anche il probabile strumento utilizzato per crearlo sul sito attaccato, ma questa volta e' successo.
La mail di phishing ricevuta questa volta ai danni del Gruppo Bancario UBI riporta un messaggio leggermente diverso dai soliti.
Infatti si invita chi la riceve ad effettuare un login sul suo account UBI per eseguire un backup di documenti personali in quanto il sito verrebbe chiuso.
Il link presente punta link a sito russo
che al suo interno contiene, questa volta, uno script
che renindirizza al sito di phishing registrato su dominio .AR (Argentina) ma hostato su server USA e che tratta di allevamento di cani.
Questa la homepage:
Una analisi del folder che contiene il sito di phishing mostra alcune cartelle tra cui quella che contiene i dati riferiti alla falsa pagina QUI UBI che vediamo in dettaglio
ed un'altro folder che attira l'attenzione in quanto privo di nome
Una volta aperto questo folder ne contiene un altro simile che a sua volta mostra questo contenuto
Il file captcha.php in realta' non ha niente a che fare con il sistema utilizzato per filtrare il login di accesso ma e' invece il codice php di una shell di comandi e precisamente la R57 nella versione 1.3.
Questa shell di comandi permette di accedere ai dati contenuti nel sito da remoto ed eseguire varie operazioni sui folders e sui files presenti.
Probabilmente, in questo caso la R57 e' stata utilizzata per caricare il sito di phishing all'interno del sito .AR e potrebbe anche essere usata in seguito per acquisire eventuali files generati dal phishing e contenenti i codici personali di chi e' caduto nel tranello del falso sito.
Edgar
La mail di phishing ricevuta questa volta ai danni del Gruppo Bancario UBI riporta un messaggio leggermente diverso dai soliti.
Infatti si invita chi la riceve ad effettuare un login sul suo account UBI per eseguire un backup di documenti personali in quanto il sito verrebbe chiuso.
Il link presente punta link a sito russo
che al suo interno contiene, questa volta, uno script
che renindirizza al sito di phishing registrato su dominio .AR (Argentina) ma hostato su server USA e che tratta di allevamento di cani.
Questa la homepage:
Una analisi del folder che contiene il sito di phishing mostra alcune cartelle tra cui quella che contiene i dati riferiti alla falsa pagina QUI UBI che vediamo in dettaglio
ed un'altro folder che attira l'attenzione in quanto privo di nome
Una volta aperto questo folder ne contiene un altro simile che a sua volta mostra questo contenuto
Il file captcha.php in realta' non ha niente a che fare con il sistema utilizzato per filtrare il login di accesso ma e' invece il codice php di una shell di comandi e precisamente la R57 nella versione 1.3.
Questa shell di comandi permette di accedere ai dati contenuti nel sito da remoto ed eseguire varie operazioni sui folders e sui files presenti.
Probabilmente, in questo caso la R57 e' stata utilizzata per caricare il sito di phishing all'interno del sito .AR e potrebbe anche essere usata in seguito per acquisire eventuali files generati dal phishing e contenenti i codici personali di chi e' caduto nel tranello del falso sito.
Edgar
Nessun commento:
Posta un commento