giovedì 8 aprile 2010

Phishing Banca Popolare di Bari e conferma dell'utilizzo di InnovaStudio come supporto al phishing

Qualche tempo fa e' apparso sul blog DenisFrati.it un dettagliato ed interessante post al riguardo dell'uso della Piattaforma di sviluppo e gestione di contenuti Web InnovaStudio, per gestire phishing anche ai danni di banche italiane.

In pratica, se non correttamente configurato, l'assets manager di InnovaStudio che gestisce l'upload di files, creazione di folders ecc... permette a chiunque di scaricare files sul sito preso di mira e quindi anche eseguibili come shell di comandi ma anche piu' semplicemente codici html che redirigono sul sito finale di phishing.
Per ulteriori dettagli su questo uso malevolo di InnovaStudio rimando al post sul blog DenisFrati.it.

Questi invece i due diversi layout di varie mails di phishing ricevute oggi, tutte ai danni di Banca popolare di Bari:

ed anche

dove possiamo notare che la linea grafica sotto forma di immagine e' acquisita dal sito di differente banca italiana (cariparma) pure presente nel source anche come riferimento, peraltro nascosto in mail, ad una pagina web di note legali

I links presenti nelle 3 mails ricevute puntano tutti ad sito USA, dove risiede un codice htm denominato fog.htm che redirige sul sito finale di phishing.

Il sito USA utilizza una piattaforma InnovaStudio , probabilmente mal configurata,

con la possibilita' per chiunque vi acceda, di visionare, uploadare files e creare folders sul sito che la mette a disposizione e che e' utilizzato in questa azione di phishing come sito di redirect intermedio

Tra i vari contenuti presenti abbiamo i files bug.htm ma anche fog.htm che redirigono su falso sito Banca Popolare di Bari hostato su server Yahoo e la cui registrazione di dominio risale a ieri

E' presente inoltre un file mail.html che se eseguito riproduce il login ad Yahoo Mail

ed anche alcuni files php ed asp nonche' alcuni ridenominati con doppia estensione

ma in realta' codici di shells

Anche se al momento i privilegi per chi accede al folder remoto pare non consentano l'esecuzione di codici di shells presenti, rimane il fatto che si puo creare un nuovo folder e/o uploadare un file. es htm opportunamente codificato, che se linkato in mail effettuera' il redirect su sito di phishing, dimostrando come questa probabile cattiva configurazione di InnovaStudio sia veramente efficiente nel supportare azioni di phishing.

Edgar
Posted by at

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)