Questa la mail ricevuta che appare simile ad altre gia ricevute in passato
ma che analizzando il link proposto al sito di phishing dimostra una diversa attivita' rispetto alle consuete mails di phishing
Questo il log della connessione al sito di phishing
che ci mostra un primo redirect che appare gia utilizzare la tipica tecnica fastflux che siamo abituati a vedere utilizzata dalle botnet.
Questo un report eseguito con script Autoit che mostra i diversi IP a cui si viene collegati
e questo un dettaglio degli ip coinvolti
Una volta rediretti sul sito di phishing possiamo vedere che anche questo presenta stesse caratteristiche di tecnica fast-flux
Ecco un Nslookup
con in evidenza il TTL di 3 minuti tipico di uso fastflux e questo il report Autoit degli IP coinvolti
con un dettaglio della provenienza
Come si vede un sito che utilizza tecniche piu' evolute ( probabile uso di computers compromessi apparteneti a Botnet) rispetto ai normali siti di phishing che si limitano al massimo ad un redirect per nascondere la loro reale provenienza.
Edgar
Nessun commento:
Posta un commento