martedì 25 agosto 2009

Aggiornamento phishing 24-25 agosto 09

Vediamo alcuni casi di phishing sia su segnalazione Filoutage ma anche proposti da mails ricevute ultimamente.

Per iniziare ecco ancora una volta alcuni siti ai danni della Banca Popolare di Vicenza (molto colpita in queste settimane) che dimostrano l'utilizzo di indirizzi web creati appositamente per ingannare meglio chi ricevesse la mail fasullla.

Il primo vicenzabancait.com

con registrant

mentre il secondo popolarevicenza.it sito a cui si accede con questa mail


e che presenta, tramite redirect da sito .KR (Corea) , questa homepage

Anche in questo caso l'indirizzo web e' creato apposta per ingannare chi ricevesse la mail di phishing e creato recentemente (24 agosto) con registrant


Entrambi i phishing presentano whois finale su server in UK


Vediamo invece questo coinvolgimento di hoster italiano


che ad esempio ospita su un sito apparentemente non attivo o comunque non ancora utilizzato e di cui vediamo la home

questo phishing ai danni di CartaSI


Sempre lo stesso hoster ospita anche, su differenti URL un phishing multiplo che vediamo in dettaglio:

Si tratta di sito 3 differenti azioni di phishing attuate con

1) un sito fasullo di Paypal in lingua francese

di cui possiamo anche visionare il completo KIT di phishing e di cui vediamo la struttura , creata scompattando file


Si nota in particolare un file, che contiene tutto il codice necessario per inviare a ben 4 mails differenti, le password ed altri dati catturati dal phishing.


2)un redirect su sito THAI sempre a phishing Paypal in lingua francese

con whois


3)un sito di phishing ai danni della banca inglese Leicester

Sempre par quanto si riferisce a PayPal ma questa volti in italiano abbiamo un sito
hostato su server USA
che anche questa volta mette a disposizione un KIT di phishing sotto forma di file zip che contiene questa struttura di folders


tra cui un subfolder con files di personalizzazione dei testi in diferenti lingue tra cui l'italiano


e che in particolare vede presente anche un file denominato Install.php che potrebbe essere il codice utile ad installare il phishing.
Una sua esecuzione mostra questa videata

mentre tutti i contenuti dei files php del KIT sono offuscati con l'uso di questo codice


Edgar

2 commenti:

Sbronzo di Riace ha detto...

stanno ricominciando i commenti spam sul blog il commento usa caratteri orientali presumo cinesi e c'è questo link

http://deai.redefrlation.net/

Edgar Bangkok ha detto...

E' un sito giapponese, probabilmente si vogliono fare pubblicita' utilizzando i commenti di blogger.

Al momento non mi risulta che ci siano problemi di malware sul sito Japan, al massimo leggendo Site Advisor parlano di Spam collegato a questo sito giapponese, stessa cosa anche per Norton Safe Web e Wepawet , nessun problema.
Ecvidentemente c'e' solo lo SPAM di commenti .....

Saluti

Edgar