Ritornato molto attivo il phishing ai danni di CartaSi.
Questa la mail ricevuta
con allegato form che anche questa volta risulta molto dettagliato come richiesta dati personali (oltre ai numeri di carta di credito anche mail e password relativa)
Rispetto al phishing CartaSi visto ieri il formato dei dati immessi non viene comunque verificato con la stessa attenzione.
Gli headers del messaggio mail
presentano il primo IP noto come fonte di spam
Una analisi del link presente nel form allegato
rivela invece che i dati sono raccolti da un codice php su sito koreano compromesso
Questo un dettaglio del codice php
che mostra il consueto invio dei dati raccolti al phisher attraverso messaggio e-mail generato in maniera automatica.
Esaminando il sito koreano che ospita il codice di acquisizione dei dati personali vediamo come lo stesso si presenti ampiamente compromesso:
Abbiamo la presenza di shell r57
di pagina di pharmacy (questo un dettaglio)
ed anche un ulteriore sito di phishing CartaSi oltre al file relativo all'acquisizione dati dal form allegato in mail.
Inoltre possiamo notare la presenza di un file malware abbastanza datato
che risulta essere identificato da quasi tutti i software presenti in VT come
anche se stranamente due software Av non sembrerebbero evidenziare il pericolo ma potrebbe trattarsi solo di un problema relativo alla scansione On-line on demand di VT che presenta limiti gia' ampiamente descritti in post precedenti.
Si tratta comunque di malware datato ed identificato da Symantec come: “W32.Pinfi - memory-resident polymorphic virus that will infect the .EXE and .SCR files. This virus can also spread via mapped drives and network shares”
Per quanto si riferisce all'ulteriore sito di phishing presente, sembrerebbe essere non recente e comunque includere codice di invio dei dati acquisiti ad uguale mail vista ora per il phishing attivo.
Edgar
Questa la mail ricevuta
con allegato form che anche questa volta risulta molto dettagliato come richiesta dati personali (oltre ai numeri di carta di credito anche mail e password relativa)
Rispetto al phishing CartaSi visto ieri il formato dei dati immessi non viene comunque verificato con la stessa attenzione.Gli headers del messaggio mail
presentano il primo IP noto come fonte di spam
Una analisi del link presente nel form allegato
rivela invece che i dati sono raccolti da un codice php su sito koreano compromesso
Questo un dettaglio del codice php
che mostra il consueto invio dei dati raccolti al phisher attraverso messaggio e-mail generato in maniera automatica.Esaminando il sito koreano che ospita il codice di acquisizione dei dati personali vediamo come lo stesso si presenti ampiamente compromesso:
Abbiamo la presenza di shell r57
di pagina di pharmacy (questo un dettaglio)
ed anche un ulteriore sito di phishing CartaSi oltre al file relativo all'acquisizione dati dal form allegato in mail.Inoltre possiamo notare la presenza di un file malware abbastanza datato
che risulta essere identificato da quasi tutti i software presenti in VT come
anche se stranamente due software Av non sembrerebbero evidenziare il pericolo ma potrebbe trattarsi solo di un problema relativo alla scansione On-line on demand di VT che presenta limiti gia' ampiamente descritti in post precedenti.Si tratta comunque di malware datato ed identificato da Symantec come: “W32.Pinfi - memory-resident polymorphic virus that will infect the .EXE and .SCR files. This virus can also spread via mapped drives and network shares”
Per quanto si riferisce all'ulteriore sito di phishing presente, sembrerebbe essere non recente e comunque includere codice di invio dei dati acquisiti ad uguale mail vista ora per il phishing attivo.
Edgar
Nessun commento:
Posta un commento