mercoledì 12 gennaio 2011

Phishing banche locali IT. Banco di Desio e della Brianza, Banca Monte Parma e diversi punti in comune con phishing BCC

Attualmente attivi due phishing sempre probabilmente gestiti dal medesimo 'gruppo' che ormai da mesi attua attacchi a banche italiane a diffusione locale e regionale.

Ecco un nuovo phishing ai danni di Banco di Desio e della Brianza che rappresenta una “new entry” tra le varie decine di banche presenti nel db dei post di questo blog.

Vediamo alcuni dettagli:

Il redirect viene gestito, come accade ormai da mesi per questo gruppo di phishers, attraverso l'utilizzo di Easy Content File Manager (accessibile senza l'uso di password) e presente su sito con whois turco:

Sono presenti due files di redirect (uno in data odierna) che presentano il medesimo codice

che punta al solito servizio di web hosting su servers USA , dove troviamo questa pagina clone di login Banco di Desio e della Brianza

e seguente pagina clone di richiesta pin codes

per poi essere rediretti sul reale sito della banca , non la homepage, ma una pagina interna al sito.

Dopo alcuni minuti dall'analisi del sito, si notava un aggiornamento dei codici di redirect (notare time e data modificati per uno dei due files visti prima )

e conseguente variazione del codice di redirect, sempre su medesimo dominio e diverso subfolder che ospita il sito clone Banco di Desio e della Brianza.

Una analisi degli IP delle connessioni sul server USA dimostrava contemporaneamente alla modifica dei codici di redirects la presenza del 'consueto' IP su range romeno come gia' visto parecchie volte in passato.

Da notare anche che il medesimo sito con Easy Content file manager usato oggi e' ad esempio gia' stato utilizzato (tra le varie volte) il 9 novembre 2010 a supporto di phishing Cariparma

Veniamo ora all'altro phishing attivo ai danni di banca Monte Parma.

Anche in questo caso sito turco con Easy Content f.m.

che vede variare, nel corso dell'analisi del sito, time del file di redirect che passa a

e relativo codice presente in cui viene modificato l'indirizzo del subfolder

che ospita il clone di phishing

Da notare che in questo caso i phishers hanno preferito utilizzare un sito compromesso su dominio UK, che presenta, tanto per cambiare, Innova Studio Asset Manager, accessibile online.

Questo il sito clone come viene presentato dall'asset manager

mentre ritroviamo , come in altri casi, la presenza di shells conseguenza di azioni di hacking.

e relative pagine con i consueti proclami

Anche questo sito, come gia' successo per altri, e' stato ampiamente utilizzato in passato come host di phishing, ad esempio per Banca intesa San paolo nel lontano dicembre 2009 ma anche, come denota questo file di invio credenziali

per un probabile recente phishing BCC (vedere il timestamp del file)

A questo punto ripensando a quanto pubblicato dall'amico Denis Frati il 10 gennaio, in cui faceva riferimento ad un phishing BCC attraverso form allegato in mail, mi e' venuto il dubbio che fossi finito, guarda caso, sul medesimo sito recensito da lui, o comunque su sito strettamente legato a quanto esposto nel suo post.

Una breve analisi dei contenuti dei foldders del sito che ospita il phishing Monte Parma, portava infatti a scoprire questa pagina di Website Control Panel, accessibile senza restrizioni,

identica a quella illustrata sul blog di Denis.

Questo conferma ancora di piu' che alla fine parrebbero essere sempre “gli stessi” a gestire questo phishing ai danni di banche locali IT o comunque che ci sia un attivo scambio di info tra i vari gruppi di phishers coinvolti in questo genere di attacchi.

Edgar

Nessun commento: