giovedì 6 agosto 2009

Aggiornamenti 6 agosto phishing FastFlux e con redirect variabile

NB. Anche se alcuni links sono in chiaro usate attenzione nel visitare le pagine in quanto si tratta pur sempre di siti fastflux di probabile botnet che potrebbe anche cambiare contenuti passando da phishing a qualcosa di piu' pericoloso (exploit, ecc....).

A distanza di molti giorni, continua il phishing su siti FastFlux ai danni di Intesa SP ( primo rilevamento il 24 luglio) e PosteIT ed anche quello ai danni di PosteIT su redirect da sito di Taiwan.(primo rilevamento il 27 luglio)

Sempre attivo il sito

mltjd(dot)com

che propone link con redirect a pagina di phishing Intesa San Paolo sempre su fastflux.

Per quanto si riferisce a PosteIT e' sempre attivo il fastflux su

katlna(dot)com

Altro aggiornamento riguarda il sito taiwanese che ridirigeva su pagine di phishing ad indirizzo variabile e che ora punta a pagina di falso login PosteIT su sito Tedesco.

Sul sito, come come sui precedenti linkati, e' sempre online anche un file txt che raccoglie tutti i dati dei login effettuati da chi ha ricevuto la mail di phishing e ne ha seguito il link , nonche' un file txt che raccoglie i relativi indirizzi IP.

Come gia' scritto, appare evidente che l'uso di IP variabili (fastflux / botnet) rende possibile la permanenza online del phishing per tempi molto lunghi rendendo molto difficoltosa la messa OFFline degli stessi.

Edgar

Nessun commento: