lunedì 27 luglio 2009

Aggiornamenti sul phishing ai danni di PosteIT

Il sito compromesso con whois Taiwan visto questa mattina e che reindirizzava sul sito di phishing pesantemente compromesso hostato in USA presenta una nuova caratteristica che lo rende diverso dai normali phishing con redirect che vediamo tutti i giorni.

Sembra infatti che il sito di phishing finale a cui punta il sito di Taiwan muti ciclicamente ad intervalli di qualche ora

Nel tardo pomeriggio di oggi infatti, seguendo il link in mail si veniva reindirizzati su questo sito con whois USA che propone al suo interno anche il completo KIT di creazione del phishing ai danni di PosteIT

Questo il contenuto del file .TAR che mostra come alcuni dei files abbiano data di ieri e tra i quali notiamo i files in formato TXT che conterranno i dati di chi avra' effettuato il login sul falso sito.


Attraverso la path dei files di testo indicata nel file TAR possiamo quindi verificare se effettivamente esistono questi file online sul sito di phishing, ed in effetti abbiamo la conferma della loro esistenza.

Anche questa volta sembrerebbe che la maggior parte di chi si e' loggato al falso sito di PosteIT sia al corrente che si tratta di phishing ma rimangono comunque alcuni utenti che forse potrebbero aver digitato i dati di accesso personali in maniera corretta.

Dopo qualche ora il redirect tramite sito taiwanese e' di nuovo mutato puntando a nuovo sito di phishing con redirect su sito australiano compromesso (al momento di scrivere il post e' offline) per poi ritornare sul sito visto questa mattina nel precedente post.

In pratica a fronte di una mail abbiamo diversi indirizzi di phishing che sono sempre attivi in quanto sfruttano il redirect iniziale.

E' probabile che questo continuo variare del redirect serva per tentare di rendere le pagine di phishing piu difficili da rilevare anche se c'e' da dire che, essendo tutte raggiungibili solo dal link presente in mail e relativo al sito di Taiwan basterebbe che la pagina che ospita il codice di redirect fosse messa offline per bloccare di fatto la diffusione di tutti i siti di phishing ai danni di PosteIT visti ora.

Edgar

Nessun commento: