NB. Anche se alcuni links sono in chiaro (es.la pagina di phishing Intesa SP) usate attenzione nel visitare le pagine in quanto si tratta pur sempre di sito fastflux di probabile botnet che potrebbe anche cambiare contenuti passando da phishing a qualcosa di piu' pericoloso (exploit, ecc....).
Si tratta del sito di Taiwan che sembra redirigere su un vasto numero di pagine di phishing ai danni di PosteIT
Quest'oggi il redirect ha puntato inizialmente, a nuovo sito compromesso, che tra l'altro dovrebbe trattare di software Open Source Linux e di sicurezza in rete, ma che vede al suo interno la presenza di pagina di phishing ai danni di PosteIT.
Anche questa volta , vista l'origine comune di questo sito di phishing ai danni di PosteIT con quelli precedenti e' stato probabilmente utilizzato il medesimo KIT di phishing che come avevamo visto in precedenza utilizzava un file user.txt per salvare i dati di login degli utenti di PosteIT caduti nel tranello del falso sito.
Una ricerca del file infatti propone il solito file user.TXT che questa volta, almeno per ora, sembra contenere tutti dati di fantasia e non reali, introdotti da chi evidentemente conosce la natura fraudolenta della mail ricevuta.
Successivamente il redirect e' stato nuovamente modificato proponendo un sito compromesso, sempre USA, che tratta di Web Design – Web Hosting ecc....
Anche questa volta il solito sito di phishing PosteIT con il consueto file user.txt facilmente raggiungibile.
E' probabile che ci saranno ancora altre variazioni degli indirizzi di phishing almeno sino a quando il sito principale di redirect hostato in Taiwan sara' attivo.
Per quanto riguarda l'uso di fastflux per distribuire phishing, sono sempre attivi quelli segnalati nei giorni scorsi, tra cui, ad esempio questo
Si tratta del sito di Taiwan che sembra redirigere su un vasto numero di pagine di phishing ai danni di PosteIT
Quest'oggi il redirect ha puntato inizialmente, a nuovo sito compromesso, che tra l'altro dovrebbe trattare di software Open Source Linux e di sicurezza in rete, ma che vede al suo interno la presenza di pagina di phishing ai danni di PosteIT.
Anche questa volta , vista l'origine comune di questo sito di phishing ai danni di PosteIT con quelli precedenti e' stato probabilmente utilizzato il medesimo KIT di phishing che come avevamo visto in precedenza utilizzava un file user.txt per salvare i dati di login degli utenti di PosteIT caduti nel tranello del falso sito.
Una ricerca del file infatti propone il solito file user.TXT che questa volta, almeno per ora, sembra contenere tutti dati di fantasia e non reali, introdotti da chi evidentemente conosce la natura fraudolenta della mail ricevuta.
Successivamente il redirect e' stato nuovamente modificato proponendo un sito compromesso, sempre USA, che tratta di Web Design – Web Hosting ecc....
Anche questa volta il solito sito di phishing PosteIT con il consueto file user.txt facilmente raggiungibile.
E' probabile che ci saranno ancora altre variazioni degli indirizzi di phishing almeno sino a quando il sito principale di redirect hostato in Taiwan sara' attivo.
Per quanto riguarda l'uso di fastflux per distribuire phishing, sono sempre attivi quelli segnalati nei giorni scorsi, tra cui, ad esempio questo
mltjd(dot)com
che redirige su altro indirizzo sempre con la medesima tipologia di variazione dell'IP di provenienza con questi risultati:
A titolo di curiosita', vorrei far notare a chi utilizza Phishtank che nello stesso momento di acquisizione di questo screenshot, la lista, al riguardo di mltjd(dot)com , presentava la pagina di phishing come OFFLINE:
questo non per contestare la validita' di repository di phishing quali phishtank, ma per evidenziare che si tratta di liste gestite in maniera automatizzata che a volte non rispecchiano l'attuale situazione dei siti (sia online che offline).
Come sempre l'uso di IP che variano ad ogni consultazione delle pagine ne rende difficoltosa se non praticamente nulla la possibilita' di stabilirne la reale provenienza permettendone cosi' il mantenimento online per molto tempo
Edgar
Nessun commento:
Posta un commento