venerdì 13 agosto 2010

Phishing CARIPARMA con l'utilizzo di Asset Manager Innova Studio (12 – 13 agosto)

Quella che vedremo nel post e' una lunga analisi di mail di phishing ai danni di CARIPARMA, ricevuta ieri e che dimostra come la piattaforma di gestione dei contenuti Innova Studio mal configurata, venga utilizzata in maniera massiccia per supportare siti clone di phishing.

Questa la mail di phishing

che linka a sito con struttura abbastanza particolare ed hostato su server USA

Come si puo' notare appare infatti presente sulla home una lunga serie di subfolders che contengono in molti casi un sito completo,

e

ecc....

quasi sempre relativo a imprese messicane, piu' altri sublfolder probabilmente usati per testare layout di siti.

In ogni caso uno dei siti presenti e' utilizzato per ospitare i codici di redirect al phishing Cariparma
Questa l'interfaccia Innova Studio che evidenzia la presenza, oltre che al codice di redir pot.htm, di files con doppia estesione e files immagine di loghi di noti siti.


Da notare alcuni interessanti particolari quali:

1) la presenza di statistiche consultabili online che ci evidenziano sia l'uso di Asset Manager Innova Studio che l'attuale utilizzo del file pot.htm quale codice di redirect


2) il fatto che alcune delle stringhe di ricerca piu' usate per individuare il sito compromesso siano proprio costituite dalle parole chiave 'asset manager asp' cosa che dimostra come ci sia l'intenzione per hackers o phishers di individuare on line un gestore di contenuti Innova Studio.

Ho evidenziato anche hackers in quanto proprio all'interno del folder gestito da Asset Manager troviamo tra le altre cose questa pagina

3) a conferma della positiva ricerca di Assets Manager la presenza su molti dei siti creati nei vari subfolders di una interfaccia di upload dei contenuti Innova Studio

Come si vede decine di possibili interfacce Innova Studio a disposizione anche se probabilmente non tutte utilizzabili per uploadare files.

Il codice pot.htm di redirect punta al sito di phishing che cambia ogni poche ore redirigendo al momento dell'analisi su sito compromesso questa volta hostato su server thailandese.

In precedenza il redirect puntava a sito spagnolo ma ancora prima, come mi riferisce l'amico Denis su sito UK compromesso, nel quale e' anche presente ad esempio questo codice di mailer

che potrebbe essere stato usato per l'invio delle mails di phishing. Anche il sito UK presenta l'interfaccia Innova Studio attiva.

Tornando all'attuale ed attivo sito di phishing Thai abbiamo anche in questo caso la conferma dell'utilizzo di Innova Studio per gestire l'upload del sito di phishing Cariparma.

Da notare che a parte il sito di phishing abbiamo nel medesimo folder decine di codici sia di shells ma anche, ad esempio, di un codice che sia dal nome ma anche dai contenuti sembra riferito ad attivita' di tipo denial-of-service attack (DoS attack)

Esplorando il subfolder ad un livello superiore il numero di files utilizzabili per attivita' di hacking e' ancora maggiore evidenziando diverse shells ecc......


Per concludere, tornando al phishing Cariparma, notiamo come la pagina proposta presenti, rispetto all'originale che vediamo in questo screenshot

un ulteriore input per l'acquisizione della password dispositiva

Edgar

Nessun commento: