mercoledì 18 marzo 2009

Ancora Phishing CartaSi ma non solo

Ricevuta l'ennesima mail ai danni di CartaSi che questa volta permette pero', di analizzare alcuni interessanti files collegati all'invio di questo genere di mails.

Ecco la mail ricevuta

che propone, ricalcando il tema del bonus in denaro visto sulle mails ai danni di PosteIT, un premio che ci verra' accreditato accedendo al nostro account di CartaSi.

Esaminiamo piu' in dettaglio il sorgente della mail

Abbiamo sia il link all'immagine costituente il messaggio di CartaSi (in giallo) che il link al sito di phishing vero e proprio.(in rosso)

La caratteristica di ospitare l'immagine che compone il messaggio mail su differente server, come in questo caso, e' cosa molto praticata da chi crea siti di phishing.
Ed ecco come si presenta il contenuto del sito compromesso che ospita appunto l'immagine che simula il testo del messaggio in mail.

Si notano subito, ordinando il contenuto per data, diversi recentissimi files (data di ieri)
Abbiamo oltre al file jpg che ritroviamo come testo della mail,
anche
che potrebbero essere eventuali alternative al phishing CartaSi gia usate in passato.

A completare il contenuto del folder c'e' pero' un'altra interessante novita'; si tratta di 6 files compressi che al loro interno presentano un file di testo di una decina di mega, ognuno dei quali contiene circa 10.000 indirizzi mails di utenti internet italiani di hotmail.

Ecco un dettaglio di uno dei files

i cui indirizzi mail sono appunto una delle probabili sorgenti dell'invio di mails di phishing.

Inoltre alcuni files php presenti sono in realta codici della shell r57


per la gestione dei contenuti inseriti nel sito compromesso.

Il sito di phishing vero e proprio, che viene raggiunto tramite un redirect passando per questo sito

si trova invece su sito compromesso con whois

Ed ecco un dettaglio del contenuto

con la consueta pagina di falso login a CartaSi.

Edgar

1 commento:

Anonimus ha detto...

Ciao, leggo sempre i tuoi post, ti faccio i complimenti :)