Resta da capire come mai si sia utilizzato il messaggio relativo al Natale a mesi di distanza dalla festivita', ma potrebbe trattarsi di cosa voluta per cercare di ingannare con questa stranezza qualche utente in piu' di QuiUbi (da notare che comunque sul sito di phishing viene riportata la data 2009)
In ogni caso, anche questa volta lo stile adottato per creare il sito di phishing e i relativi collegamenti a immagini ne permettono una analisi un poco piu' approfondita.
Ecco la mail di phishing, con il testo che in realta' e' la 'solita' immagine gia' vista in passato
ed ecco il sorgente
dove, come nelle volte scorse, si nota che l'immagine costituente il testo e' hostata su sito compromesso con whois
e con la seguente struttura
Il link al sito di phishing presente in mail invece punta a sito intermedio di redirect che tramite questo codice
linka al sito di phishing QuiUBIDiamo una occhiata al sito che pratica il redirect al sito di phishing
con whois
Possiamo notare come sia presente oltre al codice (in giallo) che effettua il link al sito finale di phishing anche un file zq.php (in rosso) che richiama questa nota shell di comandi
probabilmente utilizzata da chi lo ha compromesso.Da notare che i files sono ospitati in un subfolder che appartiene a Roundcube client mail cosa che vedremo ripetersi anche nel sito di phishing.
Il whois di questo sito che gestisce il redirect punta a sito compromesso locato in
Per terminare ecco invece il sito di phishing
con whois in
e che anche questa volta e' ospitato, su sito compromesso, all'interno di un folder facente parte di Roundcube
Dopo aver acquisito i dati di login (notare la parte aggiunta relativa alla richiesta dei codici)
si viene linkati sul sito reale di QuiUbiEdgar
Nessun commento:
Posta un commento