venerdì 24 aprile 2009

Phishing PosteIT su probabile Fast-Flux

Ricevuta mail di phishing particolare che evidenzia un probabile utilizzo di tecnica FastFlux per promuovere l'azione di spam con phishing ai danni di PosteIT

Questa la mail ricevuta che appare simile ad altre gia ricevute in passato

ma che analizzando il link proposto al sito di phishing dimostra una diversa attivita' rispetto alle consuete mails di phishing

Questo il log della connessione al sito di phishing

che ci mostra un primo redirect che appare gia utilizzare la tipica tecnica fastflux che siamo abituati a vedere utilizzata dalle botnet.

Questo un report eseguito con script Autoit che mostra i diversi IP a cui si viene collegati

e questo un dettaglio degli ip coinvolti

Una volta rediretti sul sito di phishing possiamo vedere che anche questo presenta stesse caratteristiche di tecnica fast-flux

Ecco un Nslookup

con in evidenza il TTL di 3 minuti tipico di uso fastflux e questo il report Autoit degli IP coinvolti

con un dettaglio della provenienza

Come si vede un sito che utilizza tecniche piu' evolute ( probabile uso di computers compromessi apparteneti a Botnet) rispetto ai normali siti di phishing che si limitano al massimo ad un redirect per nascondere la loro reale provenienza.

Edgar

Nessun commento: