Come potete notare il testo risulta essere solo presente come codice html (probabile errore di creazione della mail da parte del phisher) ma comunque e' identificabile l'URL di phishing.Inoltre se carichiamo il messaggio nel browser possiamo leggerlo in chiaro
Intanto c'e' da dire che il medesimo dominio utilizzato per il phishing compariva gia' ad inizio maggio ospitando un sito fraudolento ai danni di Banca Mediolanum, questo il post relativoL'ipotesi e' che quindi si tratti di sito basiliano compromesso che funziona da tempo come host per siti di phishing di vario genere ai danni di banche sia italiane che estere.
Questo l'attuale sito di phishing BCC linkato dalla mail
La cosa interessante e' pero' la presenza di un folder (la cui esistenza e' stata possibile rilevare in maniera automatica con Wikto) che tramite una interfaccia molto curata, permette di visionare una grande quantita' di dati statistici relativi al traffico presente sul sitoLa mole dei dati consultabile tramite le statistiche (ed il sito e' anche compromesso ad un livello tale) che risulta impossibile elencare nel post tutto quello che e' visionabile in fatto di phishing (attuali o recenti) e degli strumenti utilizzati per supportarlo ( shells php, codici mailer) non mancando anche, come probabili effetti collaterali di sito compromesso, eseguibili mallware.
Questa schermata mostra come si presenta l'interfaccia grafica delle statistiche
Possiamo notare a sinistra una serie di scelte relative a cosa che vogliamo analizzare mentre tra le varie opzioni abbiamo la possibilita' di filtrare i risultati e di selezionare il mese da esaminare, inoltre le informazioni presenti sul report generato ci danno un dettaglio completo di quanto trovato.Vediamo ora solo alcuni report delle decine generabili:
Questo il report relativo alle pagine di ingresso al sito per il mese di maggio 2010 (periodo dal quale sembra iniziare l'utilizzo del sito come host di phishing)
dove si nota chiaramente che il phishing Banca Mediolanum raggiungeva quando attivo in maggio 2010 il maggior numero di accessi; a seguire un sito Banca Popolare dell'Emilia Romagna che mostra essere ancora online:
Possiamo anche vedere che nello stesso mese era attivo un sito di phishing Bank of America.Un filtro sulle statistiche di giugno ci conferma il phishing BCC e relativo kit presente in formato zip i cui contenuti analizzeremo dopo in dettaglio.
La statistica degli accessi conferma come, a partire da maggio, il traffico sul sito sia aumentato notevolmente a causa degli accessi generati dal phishing
Vediamo ora cosa e' raggiungibile consultando i report delle statistiche per quanto si riferisce ai codici utilizzati per compromettere il sito e supportare il phishing, ma non solo.Si puo' affermare che con questi dettagli di report ci si trovi di fronte quasi ad una shell comandi che permetta di navigare all'interno di molti contenuti del sito compromesso.
Ecco nell'ordine:
un file manager
l'interfaccia di un programma mailer
un login a codice php
un 'altra interfaccia di programma mailer
l'ennesima shell php
un altro file manager
e persino una statistica a riguardo di possibile presenza di malware sul sito
cosa che viene confermata analizzando questo report
e scaricando, ad esempio l'eseguibile evidenziato che VT vede come
Per terminare ecco il kit di phishing BCC in formato zip
(notare data recente)che contiene il codice go.php che effettua l'invio dei dati catturati alla mail del phisher su dominio Yahoo.it
Tra l'altro lo stesso nome di file go.php e' utilizzato per il phishing Banca Popolare dell'Emilia Romagna anche se e' stata utilizzata una mail di riferimento @fastwebmail.it
Edgar
Nessun commento:
Posta un commento