giovedì 13 gennaio 2011

Aggiornamenti phishing banche IT a diffusione regionale. Una conferma di gestione di differenti phishing da parte dei medesimi personaggi

Continua il phishing ai danni del Banco di Desio e della Brianza visto ieri, attraverso redirect sempre con l'uso di codici su sito turco gestito con Easy Content f.m.

Adesso il redirect punta a punta a differente dominio creato ieri

e presente sempre su hosting Usa

Piu' interessante l'aggiornamento del phishing attivo ai danni di banca Monte Parma che permette anche attraverso l'analisi dei codici presenti, non solo riferiti a Monte Parma, di confermare uno stretto legame tra phishing BCC, Banca Monte Parma e Cariparma.

Anche in questo caso e attivo per il redirect lo stesso sito turco visto ieri e che usa Easy Content f.m.
La differenza e' l'ennesima modifica del codice (redirect) che punta ora a diverso sito sempre su stesso indirizzo IP visto ieri (stesso hoster UK) ed ancora con Innova Studio Asset Manager, accessibile online.

Tra l'altro una analisi di reverse IP del servizio di hosting UK mostra ben 108 sorgenti scaricati dal tool Autoit, con altrettanti codici di Innova Studio Asset Manager e quindi di conseguenza un elevato numero di siti potenzialmente, almeno in parte, sfruttabili come supporto all'upload di siti clone.

Analizzando il folder che ospita il clone Monte Parma, rispetto all'analisi di quello usato ieri il numero di files di provenienza ''hacking' e' maggiore , essendo presenti numerose shells, pagine di hacking ma anche,caso particolare, un eseguibile visto (poco) da VT come


Sempre sullo stesso sito compromesso troviamo una pagina clone Cariparma

ed una pagina clone di login Facebook in lingua turca.


Veniamo ora a quella che forse e' la piu' interessante conferma che questo phishing banca Monte Parma ha permesso di trovare.

Avevo gia' accenato ieri ad una possibile gestione comune dei vari phishing, specialmente quelli ai danni banche locali IT, attuati negli ultimi mesi.

Sicuramente, come ha ben documentato l'amico Denis Frati, nel suo blog, il gruppo da lui denominato R-Team (ossia team che usa la tecnica del redirect per far accedere al sito clone) e' uno dei gestori del phishing attuale ai danni banche locali IT

Era interessante vedere se il phishing rilevato ai danni di BCC ieri, in cui e' stata usata la tecnica degli allegati in mail invece che il redirect attraverso messaggio con link, avesse punti in comune con l'R-team.

Come premessa ricordo anche che uno dei metodi piu' utilizzati dai pishers per acquisire i dati sottratti a chi cadesse nel phishing, e' quello di farseli 'recapitare' ad un indirizzo mail temporaneo creato allo scopo .

Anche questa volta infatti, se andiamo ad analizzare i codici di phishing Monte Parma abbiamo, relativamente all'invio via email delle credenziali sottratte a chi cadesse nel tranello del falso sito, questo codice

Guarda caso, se andiamo ad analizzare il codice di phishing ai danni di Cariparma presente sempre nello stesso folder rileviamo

che mostra identico indirizzo mail di invio credenziali sottratte.

Se poi andiamo ad analizzare il codice di phishing BCC visto ieri troviamo:


Notate anche un 'residuo' nel codice di un vecchio phishing e precisamente la scritta ----Spoleto--- che quasi sicuramente evidenzia come il codice attuale BCC derivi da un precedente codice che coinvolgeva la B.P. di Spoleto (e R.team) (B.P. Spoleto e' un altro istituto bancario sempre nelle attenzione dello stesso gruppo di phishers)

Risulta evidente come nei tre casi l'indirizzo e-mail di 'raccolta' dei dati sottratti e' il medesimo.

Ora, indipendentemente dal metodo utilizzato per l'attacco (clone gestito con Innova Studio, con Easy Content, o tramite shells) appare chiaro che e' presente un punto in comune tra le varie azioni di phishing e precisamente il medesimo indirizzo e-mail a cui vengono inviati i dati personali e di accesso sottratti a chi cadesse nel tranello teso dai pishers.

Edgar

Nessun commento: