che, anche se dal layout parecchio datato, ci permette di verificare alcune interessanti caratteristiche della sua struttura.Come prima particolarita' abbiamo che il phishing e' hostato su sito di una certa importanza in quanto non si tratta di sito commerciale ma governativo con whois
Ecco un dettaglio della homepage, che sembrerebbe ancora in fase di sviluppo,
e che appartiene ad un ministero che si occupa di 'Housing and Municipal Economy'.
L'ambiente di sviluppo utilizzato sembrerebbe
e del quale possiamo trovare in rete la descrizione di alcune vulnerabilita presenti, forse utilizzate per inserire il phishing all'interno del sito stesso.La struttura del sito si dimostra invece molto interessante in quanto questa volta possiamo rilevare anche la presenza del file zip
contenente il 'kit' di distribuzione del falso sito PosteIT
In particolare si nota dalle date dei files inclusi nel 'KIT' che si tratta di una vecchia versione datata 2007 (molto utilizzata in passato) ma che presenta, come c'era da aspettarsi, gli aggiornamenti relativi alla destinazione finale dei dati acquisiti , piu' un tipico file thumbs.db (relativo alle miniature dei file grafici presenti nel folder) anche questo in data bastanza recente essendosi probabilmente generato in automatico quando il folder e' stato trasferito su disco per le modifiche o per trasferire i files.Attraverso una utility freeware possiamo esaminare il contenuto del file thumbs.db che ci conferma quanto supposto
Esaminando nel dettagli i due files piu' recenti (data di ieri) abbiamo invece la conferma degli aggiornamenti a cui sono stati sottoposti e precisamente index.php
dove si notano gli indirizzi mails a cui recapitare i dati acquisiti durante la nuova sessione di phishing.
Come si nota questa volta compaiono due indirizzi e-mail forse per garantirsi meglio sul ricevimento dei dati sensibili catturati dal falso login.
Lo stesso file contiene anche alcune verifiche sui dati forniti da chi si e' loggato al falso sito PosteIT per verifcarne l'attendibilta':
Ad un livello superiore di folder sul sito che ospita il phishing abbiamo invece questa pagina di login che conferma l'ambiente di sviluppo probabilmente utilizzato per gestire il sito governativo.
Edgar
Nessun commento:
Posta un commento