Quando ci si confronta con siti compromessi, specialmente per casi di phishing, risulta utile cercare di approfondire l'analisi del clone di phishing onde trovare quei riferimenti che permettono poi di risalire , almeno in parte, alla fonte dell'attacco.
E' il caso del precedente post che evidenzia come sia stato utilizzato un sito di blog per ospitare il phishing ai danni di Banco di Desio e Bank of America, sito blog che analizzato in prondita' rivela alcuni particolari interessanti.
Ecco quanto trovato su un folder apparentemente non legato al phishing ma piuttosto relativo ai contenuti del blog
Salta subito agli occhi la presenza di un completo ed ulteriore sito di phishing B. di Desio, ma anche del KIT di phishing relativo.
E' probabile che si tratti, per cosi' dire, del folder di lavoro del phisher dove e' stato testato il sito clone prima della sua 'messa on-line'.
Questi alcuni dettagli:
e
Dal KIT
possiamo estrarre diverse INFO utili quali ad esempio le date dei files utilizzati, la path di lavoro del sito clone, ma, piu' importante, gli indirizzi mails di riferimento per l'invio ai phishers delle credenziali di accesso al conto online, sottratte a chi cadesse nel tranello del falso sito.
Ecco i sources dei codici php che effettuano l'invio delle credenziali sottratte:
In questo caso gli indirizzi mails sono differenti rispetto a quelli utilizzati ieri, ma comunque anche diversi da quello usato per parecchio tempo da altro gruppo di phishers (r-team per chi segue il blog) coinvolto in attacchi anche a Banco di Desio.
Edgar
Nessun commento:
Posta un commento