giovedì 4 giugno 2009

Ancora un sito di phishing ai danni di PosteIT (04/06)

Ecco una nuova dimostrazione dello stretto legame tra siti compromessi e phishing esaminando un nuovo indirizzo di phishing comunicatomi da Filoutage.

All'interno del sito colpito preso in esame, possiamo notare infatti alcune pagine

che ne confermano la compromissione e dove, tra l'altro, si nota del testo che indicherebbe anche la presenza di un malware distribuito insieme alla pagina di hacking.

In effetti , esaminando il sorgente, si nota del codice java offuscato

che deoffuscato punta a pagina, non online al momento, ma che potrebbe essere stata utilizzata in passato per linkare malware.

Sempre nel medesimo folder e' anche presente questo file zip che risulta essere l'ennesimo 'KIT' di phishing ai danni di PosteIT e di cui esaminiamo brevemente il contenuto.

Si tratta di una completa struttura di sito di phishing ai danni di PosteIT i cui files sembrano tutti molto datati (meta' 2007), il che farebbe pensare ad un vecchio tentativo di phishing ormai inattivo, ma esaminando meglio, si scopre che esiste un codice php con data molto recente.

Il file php contiene infatti tutto il necessario per l'invio automatico tramite @gmail dei dati personali ai gestori dell'azione di phishing e quindi dimostra che nonostante la creazione del sito sia parecchio datata, lo stesso potrebbe essere utilizzato attualmente.

A conferma di questo, all'interno del sito compromesso, si trovano folders con tutti i files necessari per gestire il falso sito di PosteIT

e del quale vediamo uno screenshot della pagina di login (notare, come gia' rilevato nel file zip, la vecchia data riportata in fondo pagina)


Edgar

Nessun commento: