Ancora 'aggiornati' (attraverso file manager Innova Studio) i codici sul sito con IP olandese, che funziona da redirect al phishing.
Ecco infatti due codici di redirect di cui vediamo un dettaglio della data e del time nella giornata di ieri (domenica 12 dicembre)
ed oggi (13 dicembre)
(notare anche il codice di una nuova shell inclusa nel sito)Il contenuto dei 2 codici di redirect punta sempre a sito clone Cassa di Risparmio di Volterra su servizio di hosting USA il cui dominio e' stato modificato nuovamente oggi.
Interessante notare come sia attivo in rete anche un altro phishing ai danni C.R. Volterra che utilizza invece direttamente un sito compromesso con whois USA.
Una ricerca in rete indica che si tratta di sito che utilizza OSCommerce
e che al momento presenta la seguente struttura ( senza le pagine di OsCommerce attive)
Da notare la presenza oltre che al clone C.R.Volterra anche una shell protetta da password di accesso e una pagina di statistiche visualizzabili online.Questi i reports relativi agli accessi dove si vede che la maggior parte dei (pochi) accessi riguarda proprio il sito di phishing C.R.Volterra.
Un confronto tra il login fake del sito di OSCommerce compromesso e quello su hosting USA da redirect Innova Studio 
mostra un diverso layout che potrebbe far pensare a due differenti gruppi di phishers attualmente attivi (anche se poi, i dati sensibili acquisiti, potrebbero essere trasmessi ad un medesimo gruppo di gestione del phishing)
Edgar
Nessun commento:
Posta un commento