Ecco un nuovo phishing ai danni di Banco di Desio e della Brianza che rappresenta una “new entry” tra le varie decine di banche presenti nel db dei post di questo blog.
Vediamo alcuni dettagli:
Il redirect viene gestito, come accade ormai da mesi per questo gruppo di phishers, attraverso l'utilizzo di Easy Content File Manager (accessibile senza l'uso di password) e presente su sito con whois turco:
Sono presenti due files di redirect (uno in data odierna) che presentano il medesimo codice
che punta al solito servizio di web hosting su servers USA , dove troviamo questa pagina clone di login Banco di Desio e della Brianza
e seguente pagina clone di richiesta pin codes
per poi essere rediretti sul reale sito della banca , non la homepage, ma una pagina interna al sito.
Dopo alcuni minuti dall'analisi del sito, si notava un aggiornamento dei codici di redirect (notare time e data modificati per uno dei due files visti prima )
e conseguente variazione del codice di redirect, sempre su medesimo dominio e diverso subfolder che ospita il sito clone Banco di Desio e della Brianza.
Una analisi degli IP delle connessioni sul server USA dimostrava contemporaneamente alla modifica dei codici di redirects la presenza del 'consueto' IP su range romeno come gia' visto parecchie volte in passato.
Da notare anche che il medesimo sito con Easy Content file manager usato oggi e' ad esempio gia' stato utilizzato (tra le varie volte) il 9 novembre 2010 a supporto di phishing CariparmaVeniamo ora all'altro phishing attivo ai danni di banca Monte Parma.
Anche in questo caso sito turco con Easy Content f.m.
che vede variare, nel corso dell'analisi del sito, time del file di redirect che passa a
e relativo codice presente in cui viene modificato l'indirizzo del subfolder
che ospita il clone di phishing
Da notare che in questo caso i phishers hanno preferito utilizzare un sito compromesso su dominio UK, che presenta, tanto per cambiare, Innova Studio Asset Manager, accessibile online.Questo il sito clone come viene presentato dall'asset manager
mentre ritroviamo , come in altri casi, la presenza di shells conseguenza di azioni di hacking.
e relative pagine con i consueti proclami
Anche questo sito, come gia' successo per altri, e' stato ampiamente utilizzato in passato come host di phishing, ad esempio per Banca intesa San paolo nel lontano dicembre 2009 ma anche, come denota questo file di invio credenziali
per un probabile recente phishing BCC (vedere il timestamp del file)
A questo punto ripensando a quanto pubblicato dall'amico Denis Frati il 10 gennaio, in cui faceva riferimento ad un phishing BCC attraverso form allegato in mail, mi e' venuto il dubbio che fossi finito, guarda caso, sul medesimo sito recensito da lui, o comunque su sito strettamente legato a quanto esposto nel suo post.Una breve analisi dei contenuti dei foldders del sito che ospita il phishing Monte Parma, portava infatti a scoprire questa pagina di Website Control Panel, accessibile senza restrizioni,
identica a quella illustrata sul blog di Denis.Questo conferma ancora di piu' che alla fine parrebbero essere sempre “gli stessi” a gestire questo phishing ai danni di banche locali IT o comunque che ci sia un attivo scambio di info tra i vari gruppi di phishers coinvolti in questo genere di attacchi.
Edgar
Nessun commento:
Posta un commento