giovedì 9 settembre 2010

Phishing CartaSi ed ancora l'accoppiata sito koreano + ZeroBoard (9 settembre)

Ricevuta mail di phishing ai danni di CartaSi

che dimostra ancora una volta la scelta di sfruttare, come hosting del phishing, siti koreani che utilizzano la piattaforma ZeroBoard.

Per chi si chiedesse come mai ci si rivolge in special modo a siti koreani per sfruttare vulnerabilita' ZeroBoard, in rete troviamo facilmente la spiegazione

"…....... ZeroBoard (or Currently named Xpress Engine) is one of the most successful open source contents management system developed by Zero (name of developer), Korea. Many business entities, non-profit organizations rooted Korea are using it as their website solution. …...."

In pratica ZeroBoard e' sviluppata in Korea e sono molti i siti koreani che la utilizzano e che diventano possibili bersagli dei phishers.

Ecco infatti la solita l'inclusione di shells


anche questa volta probabilmente dovuta a vulnerabilita' ZeroBoard.

In rete si possono trovare commenti, a volte non positivi, sull'utilizzo di ZeroBoard per gestire BBS piu' o meno note.... leggiamo ad esempio al riguardo di una BBS koreana (fonte Wikipedia)

“......... DC Inside was opened in October 1999 by Kim Yusik as a community of interest towards discussion specifically pertaining to digital cameras and photography,.........”

ed ancora traducendo dall'inglese

“.. DC Inside non si discosta dal popolare sistema di BBS usato in Corea, un software free chiamato "Zeroboard". A causa di vulnerabilita' di sicurezza ed anche i problemi di larghezza di banda riferiti a Zeroboard, molti hanno pubblicamente espresso.............."

per quanto si riferisce all'odierna mail, Il sito hostato su

ospita il phishing CartaSi che dimostra comunque un layout non recente (notare riferimenti ai mesi scorsi)

ed e' creato a partire da un kit di phishing costituito da file archivio compresso tgz

Per evidenziare l'elevato numero di volte con cui il sito e' stato utilizzato per gestire phishing CartaSi, basta vedere come il kit di phishing sia presente all'interno del sito ben 9 volte e sempre in folders differenti.

L'upload su differenti percorsi, e la relativa presenza di numerosi siti di phishing CartaSi sul sito koreano, si spiega anche nel fatto di proporre sempre nuovi indirizzi web di phishing a cui linkare in mail.

Edgar

Nessun commento: