Ricevuta una interessante email di phishing ai danni di BCC (Credito Cooperativo)
che rivela nel link proposto, a sito compromesso locato in USA,
tutto l'occorrente utilizzato per attivare e gestire il phishing.
Vediamo alcuni dettagli:
Questo il folder del sito compromesso che propone una serie di interessanti tools utilizzati dal phisher, e precisamente:
1) un codice php di shell WSO 2
con la possibilita' di accedere/modificare qualunque file presente nel sito
2) un codice php che se eseguito attiva questo mailer
3) la presenza di un file compresso in formato TAR datato 1 ottobre con all'interno i vari file che compongono il sito in una vecchia versione di layout.
Proseguendo nell'analisi del sito abbiamo un folder bcc.online dove troviamo un altro KIT di phishing compresso in formato ZIP , che contiene la versione piu' aggiornata del sito di phishing ed utilizzata al momento.
Il sito di phishing attualmente online
mostra alcune differenze rispetto all'originale BCC e precisamente la presenza di piu' campi di input nel form di login (chi attua il phishing vuole accedere a tutti i codici utilizzati per il login) e l'assenza della segnalazione di avvertimento su possibili tentativi di phishing; avviso che e' invece presente sul sito originale BCC che vediamo nello screenshot qui sotto:
Naturalmente all'interno del sito di phishing troviamo anche il codice
che ,dopo la conferma del login per chi cadesse nel tranello del phishing, inviera' tutti i dati catturati all'indirizzo email del phisher.
Edgar
che rivela nel link proposto, a sito compromesso locato in USA,
tutto l'occorrente utilizzato per attivare e gestire il phishing.
Vediamo alcuni dettagli:
Questo il folder del sito compromesso che propone una serie di interessanti tools utilizzati dal phisher, e precisamente:
1) un codice php di shell WSO 2
con la possibilita' di accedere/modificare qualunque file presente nel sito
2) un codice php che se eseguito attiva questo mailer
3) la presenza di un file compresso in formato TAR datato 1 ottobre con all'interno i vari file che compongono il sito in una vecchia versione di layout.
Proseguendo nell'analisi del sito abbiamo un folder bcc.online dove troviamo un altro KIT di phishing compresso in formato ZIP , che contiene la versione piu' aggiornata del sito di phishing ed utilizzata al momento.
Il sito di phishing attualmente online
mostra alcune differenze rispetto all'originale BCC e precisamente la presenza di piu' campi di input nel form di login (chi attua il phishing vuole accedere a tutti i codici utilizzati per il login) e l'assenza della segnalazione di avvertimento su possibili tentativi di phishing; avviso che e' invece presente sul sito originale BCC che vediamo nello screenshot qui sotto:
Naturalmente all'interno del sito di phishing troviamo anche il codice
che ,dopo la conferma del login per chi cadesse nel tranello del phishing, inviera' tutti i dati catturati all'indirizzo email del phisher.
Edgar
Nessun commento:
Posta un commento