mercoledì 22 dicembre 2010

Phishing CartaSi (22 dicembre)

Ritornato molto attivo il phishing ai danni di CartaSi.

Questa la mail ricevuta

con allegato form che anche questa volta risulta molto dettagliato come richiesta dati personali (oltre ai numeri di carta di credito anche mail e password relativa)

Rispetto al phishing CartaSi visto ieri il formato dei dati immessi non viene comunque verificato con la stessa attenzione.

Gli headers del messaggio mail

presentano il primo IP noto come fonte di spam

Una analisi del link presente nel form allegato

rivela invece che i dati sono raccolti da un codice php su sito koreano compromesso

Questo un dettaglio del codice php

che mostra il consueto invio dei dati raccolti al phisher attraverso messaggio e-mail generato in maniera automatica.

Esaminando il sito koreano che ospita il codice di acquisizione dei dati personali vediamo come lo stesso si presenti ampiamente compromesso:

Abbiamo la presenza di shell r57

di pagina di pharmacy (questo un dettaglio)

ed anche un ulteriore sito di phishing CartaSi oltre al file relativo all'acquisizione dati dal form allegato in mail.

Inoltre possiamo notare la presenza di un file malware abbastanza datato


che risulta essere identificato da quasi tutti i software presenti in VT come

anche se stranamente due software Av non sembrerebbero evidenziare il pericolo ma potrebbe trattarsi solo di un problema relativo alla scansione On-line on demand di VT che presenta limiti gia' ampiamente descritti in post precedenti.

Si tratta comunque di malware datato ed identificato da Symantec come: “W32.Pinfi - memory-resident polymorphic virus that will infect the .EXE and .SCR files. This virus can also spread via mapped drives and network shares

Per quanto si riferisce all'ulteriore sito di phishing presente, sembrerebbe essere non recente e comunque includere codice di invio dei dati acquisiti ad uguale mail vista ora per il phishing attivo.

Edgar

Nessun commento: