Anche se sicuramente meno diffuso che altri phishing a banche e Poste Italiane quello ai danni di Lottomatica e' da molto tempo attivo in rete. (vedi mio post del luglio 2009 e successivi)
Ecco un nuovo ed attuale phishing Lottomaticard che si distingue per alcuni interessanti particolari:
Il sito compromesso che lo ospita, anche se riferito ad associazione canadese, risulta hostato su
Tramite un redirect sempre sul medesimo sito (notare la presenza di un riferimento in title a Poste.IT )
si viene portati sul phishing Lottomaticard che propone (notare la parte di url ingannevole)
seguito da ulteriore login
al termine del quale abbiamo la reale pagina di Lottomaticard.
Il phishing risulta ingannevole proprio per il fatto che , terminato il login fasullo, viene proposta un 'reale' pagina di errore Lottomaticard.Il malcapitato utente potrebbe quindi pensare di aver commesso qualche errore nell'input dei dati o, al limite, ad un problema di rete o uno specifico problema sul sito Lottomatica, e quindi cliccando sulla opzione “indietro e riprovare” ritrovarsi in una pagina di login ma questa volta autentica.
Cio' renderebbe l'utente Lottomaticard rassicurato, visto che ora si trova sul sito ufficiale e probabilmente non terrebbe in considerazione il pericolo derivato dai vari login eseguiti in precedenza, sul sito clone.
Vediamo ora alcuni dettagli piu' tecnici:
La possibilita' di esplorare da browser i contenuti del folder utilizzato da phisher mostra diversi contenuti interessanti:
Un KIT di phishing Lottomaticard in formato zip che analizziamo brevemente
Da notare date recenti per quei files di phishing che contengono i riferimenti mail a cui vengono inviati in automatico i dati 'raccolti' dal phisher attraverso i falsi login ed anche l'acquisizione dell'IP di chi si connette al falso sito.Interessante pure il nome assegnato ad alcune variabili facenti parte del form di login: ad esempio questa una variabile che Google translator identifica essere in lingua romena.
Questo non vuole dire che il phisher attuale appartenga a quella nazione ma in ogni caso conferma ancora una volta (dopo i numerosi IP rilevati in casi di phishing) che esiste un possibile collegamento a quella nazione e questo phishing.(ad esempio chi ha creato il kit o ha modificato gli indirizzi mails di riferimento)Sempre nel folder esaminato, abbiamo naturalmente l'ulteriore folder con i contenuti di phishing che rispetta la path vista nel kit ed inoltre due codici di shell
camuffati con il medesimo nome di files pdf legittimi presenti.Si tratta di shell usate probabilmente a supporto del phishing e che, in ogni caso, evidenziano lo stato di elevata compromissione del sito.
Edgar
Nessun commento:
Posta un commento