Vediamo qualche dettaglio:
Questa la pagina di phishing CartaSI
che come si vede presenta un whois su
Sempre sul medesimo IP e' presente il file compresso contente il KIT di phishing
Come si puo' notare, tra i vari codici presenti nel file compresso, ne abbiamo alcuni (3 files index.php su differenti indirizzi di URL) che redirigono, a diverso IP
comunque sempre appartenente al medesimo hoster.
Seguendo l'IP presente come redirect veniamo linkati a
che a sua volta mostra la presenza di un nuovo file zip di cui esaminiamo i contenuti
Ancora una volta troviamo una struttura del file zip simile alla precedente, contenente dei codici php che redirigono su altro IP, comunque sempre dello stesso hoster, che mostra
In questo caso possiamo notare l'ennesima presenza di un file compresso con KIT di phishing ai danni di CartaSI e relativo subfolder a sito di phishing, ma anche un KIT di phishing su file zip ai danni di PosteIT
Come si vede la data del file che contiene il codice per l'invio via mail dei dati di phishing eventualmente acquisiti, non e' recente, anche se in ogni caso il sito PosteIT di phishing risulta tuttora ONline.
Questa la pagina di phishing proposta
In pratica alcuni siti tutti sul medesimo hoster ma distribuiti tra vari IP con una struttura simile a 'scatole cinesi' probabilmente utilizzata per mascherare meglio i contenuti di phishing.
Edgar
Nessun commento:
Posta un commento