venerdì 7 agosto 2009

Ancora FastFlux per PosteIT

Sembra che l'utilizzo di indirizzi IP variabili (fastflux) per distribuire siti di phishing sia in aumento.

Ricevuta una nuova mail di phishing ai danni di PosteIT che presenta entrambi i links in mail (link a redirect e sito finale) con probabile uso della tecnica FastFlux per nascondere la reale provenienza del phishing.

Evidentemente si utilizza (anche solo in parte) una delle tante botnet presenti in rete, per creare un phishing difficile da mettere OFFline in quanto non esiste un riferimento preciso al server che ospita il sito di phishing.

Ecco la mail, tra l'altro scritta in buon italiano,

che presenta come primo link questo grumpix(dot)com che redirige su mzkta(dot)com anch'esso con l'utilizzo di IP variabili

Ecco il log della conenssione


mentre questi i report riferiti alla provenienza degli IP per grumpix(dot)com
e per mzkta(dot)com

Altre due mail ricevute, riguardano sempre PosteIT ma utilizzano il consueto sistema di siti compromessi per distribuire il sito di phishing.

Ecco una delle mail (l'altra ricevuta e' simile a questa)

ed ecco i whois dei siti che ospitano il phishing


Edgar

Nessun commento: