giovedì 30 luglio 2009

Anche per PosteIT phishing con FastFlux

NB. Anche se alcuni links sono in chiaro usate attenzione nel visitare le pagine in quanto si tratta pur sempre di sito fastflux di probabile botnet che potrebbe anche cambiare contenuti passando da phishing a qualcosa di piu' pericoloso (exploit, ecc....).

Era gia' successo in questi ultimi giorni che alcuni siti di phishing utilizzassero ampiamente la tecnica FastFlux con variazione dell'IP del sito linkato per colpire ad esempio Banca Intesa San Paolo.(phishing ormai attivo da qualche giorno e con il sito mltjd(dot)com perfettamente raggiungibile anche questa mattina ).

E' di oggi la ricezione di una mail di phishing ai danni di poste IT

che sfrutta come primo redirect questo link a:

sdrbl(dot)com

che utilizza fastflux come vediamo da questo whois ciclico eseguito sull'indirizzo web.

sdrbl(dot) com redirige poi su altro sito FastFlux e precisamente

kaciae(dot)

com che attiva una connessione a StatCounter

e nel contempo carica il sito di phishing PosteIT

che dimostra anche un certo livello di verifica dei dai inseriti.


In pratica abbiamo quindi:

Una mail scritta in buon italiano, un sito di phishing che attua una verifica anche se parziale dei dati digitati (cosa poco comune in questo genere di pagine di login fasulle che di solito accettano qualunque testo digitato) e per finire, e questa e' la cosa piu' rilevante, un utilizzo doppio (sia nel redirect che nel sito finale) di fastFlux che potrebbe rendere praticamente impossibile una messa offline del phishing visto ora.

Come si vede si tratta di una azione ai danni di PosteIT certamente di rilievo rispetto al 'normale' phishing che propone siti che al massimo restano online un giorno o due.

Edgar

Nessun commento: