Ritorna un phishing BCC attraverso l'utilizzo di allegato mail.
L'argomento usato nel messaggio di phishing e' comunque leggermente diverso dal solito' avviso di accesso non autorizzato al conto' ma riguarda presunti errori su operazioni bancarie relative a Deleghe F24.
Questa la mail:
che presenta un file allegato in formato .mht dal nome ingannevole che se caricato nel browser mostra
Questo il redirect presente nel form
che punta a sito Koreano
che, come succede spesso in questi casi, presenta attiva la piattaforma ZeroBoard.
Come gia' rilevato parecchie volte in questi siti ZeroBoard compromessi, e' possibile rilevare una shell a linea comando
da cui poi ricavare eventuali indirizzi di shell grafica nel medesimo folder, ed anche presente nel caso odierno
Per quanto si riferisce all'invio dei dati sottratti dal phishing ecco il codice php che si occupa di trasmetterli via mail al phisher
mentre nel medesimo folder notiamo comunque un codice relativo a form BCC uguale a quello allegato in mail e relativi files accessori
(notare data abbastanza recente per il folder che ospita i files relativi al form di phishing).
Edgar
L'argomento usato nel messaggio di phishing e' comunque leggermente diverso dal solito' avviso di accesso non autorizzato al conto' ma riguarda presunti errori su operazioni bancarie relative a Deleghe F24.
Questa la mail:
che presenta un file allegato in formato .mht dal nome ingannevole che se caricato nel browser mostra
Questo il redirect presente nel form
che punta a sito Koreano
che, come succede spesso in questi casi, presenta attiva la piattaforma ZeroBoard.Come gia' rilevato parecchie volte in questi siti ZeroBoard compromessi, e' possibile rilevare una shell a linea comando
da cui poi ricavare eventuali indirizzi di shell grafica nel medesimo folder, ed anche presente nel caso odierno
Per quanto si riferisce all'invio dei dati sottratti dal phishing ecco il codice php che si occupa di trasmetterli via mail al phisher
mentre nel medesimo folder notiamo comunque un codice relativo a form BCC uguale a quello allegato in mail e relativi files accessori
(notare data abbastanza recente per il folder che ospita i files relativi al form di phishing).Edgar
1 commento:
questo evidenzia secondo me che quando sono finiti con bcc su assetmanager era una casualità, probabilmente derivante dalla forte compromissione di quel sito/server britannico pieno di shell.
l'F-team (form team) continua ad operare su piattaforme che vengono violate con l'uso di exploit attraverso cui caricano poi le shell grafiche, mostrando una competenza ed abilità maggiore nell' "hacking" rispetto all'R-team.
Non è solo l'indirizzo del destinatario delle credenziali a fare la differenza, ma l'insieme di fattori, includenti la preparazione, così come desumibile da una sorta di hacking profiling.
Posta un commento