venerdì 24 luglio 2009

Phishing Intesa su FastFlux

Si tratta di un sito di phishing attualmente attivo, segnalatomi da Filoutage, ai danni di Intesa San Paolo che analizziamo in dettaglio per quanto si riferisce agli IP coinvolti

Questa la pagina di phishing

che, come si vede dallo screenshot, mostra la lunga sequenza di IP coinvolti nella sua distribuzione.

Per quanto si riferisce ad una analisi del sorgente del sito di phishing possiamo evidenziare la presenza di un link a sito di statistiche di accesso,

che non appare sul source dell'originale sito della banca.

Ed ecco i risultati di un Nslookup sull'indirizzo web del sito di phishing


Come si nota abbiamo un TTL time molto ridotto tipico dell'uso di FastFlux su probabile botnet di pc compromessi.

Il tutto viene confermato da una analisi attraverso un script Autoit che esegue un whois ciclico sull'indirizzo web che appare nella URL


e che ci mostra il continuo variare in tempi brevi dell'IP coinvolto nella distribuzione del phishing.

Questo invece un parziale report degli IP coinvolti ordinati per nazione:


dove ancora una volta spiccano sia paesi dell'Est Europa che gli USA con in particolare lo stato del New Jersey, che compare sempre ai primi posti ad esempio anche nei report relativi a Waledac botnet.

Edgar

Nessun commento: