giovedì 26 febbraio 2009

Uso di javascript offuscato in sito di phishing BPM

Ricevute a breve intervallo di tempo due identiche mails di phishing ai danni della Banca Popolare di Milano.

Il testo appare scritto in un italiano abbastanza approssimativo mentre al contrario tutto il sistema di phishing sembra strutturato con molta cura.
Gia' dal codice source della mail si nota come le immagini gif o jpg allegate al messaggio siano ospitate su diversi siti

Aprendo nel browser il link presente in mail abbiamo una sorpresa

Il codice della pagina, molto semplice, rivela infatti la presenza di un script java offuscato che deoffuscato
punta ad una seconda pagina, sul medesimo server, con contenuto completamente offuscato

che e' in realta' la home del sito di phishing


Una analisi del contenuto dimostra che tutte le immagini gif o jpg presenti sono hostate sul medesimo sito spagnolo compromesso che ospitava gia' le immagini presenti in mail,

Ecco un whois

Ed ecco i files contenuti

con data recente


Analizzando invece l'url del sito di phishing si nota che e' stato utilizzato un servizio free di hosting

locato in Repubblica Ceca

Una volta effettuato il login sul falso sito BPM viene presentata una seconda pagina, ancora con con contenuto source offuscato da script java, e che presenta la maschera di input dei codici di sicurezza.
Da questa pagina, senza ulteriori controlli dell'input sul form, basta confermare per venire rediretti al reale sito della Banca Popolare di Milano

Come ulteriore curiosita', una ricerca in rete, trova il falso sito di phishing della banca anche a poche ore dalla sua creazione, cosa che non avviene frequentemente,
e che da' una ulteriore parvenza di ufficialita' al phishing ai danni di BPM

Interessante notare che in questo caso, per eludere probabili controlli sul contenuto delle pagine, si e' utilizzata ampiamente la tecnica di offuscare il codice, cosa che non vediamo spesso nei siti phishing.

Una mail di phishing simile, sempre ai danni di BPM e sempre con la medesima caratteristica di aver le pagine costituite da codice offuscato era gia' stata ricevuta nel dicembre 2008

Edgar

Nessun commento: