mercoledì 16 febbraio 2011

Aggiornamento phishing ai danni di banche IT a diffusione regionale. Conferme e novita' (15 - 16 febbraio)

In premessa vorrei evidenziare che quanto illustrato e' relativo alla situazione attuale di alcuni 'casi di phishing ' (mattina del 16 febbraio - thai time).
Questo perche', per sua natura, il phishing e', per cosi dire, 'dinamico' considerato che sia da parte dei phishers (cambio frequente dei redirects ai siti clone, mails inviate molto spesso a brevi intervalli di tempo con nuovi links, ecc...) che da parte di chi amministra i servers/siti colpiti (messa OFF-line dei contenuti di phishing, blocco dell'accesso ad interfacce di amministrazione del sito, ecc...), vengono prodotte azioni che, nell'arco di poche ore, possono variare i domini e/o i links coinvolti.

Iniziamo dalla novita' e precisamente dalla presenza in rete, a partire dal pomeriggio di ieri (thai time) di un nuovo phishing che tenta di colpire i clienti di Banca Popolare FriulAdria (Gruppo Cariparma FriulAdria)

il redirect, presente su sito con whois brasiliano

e' gestito tramite una delle alternative ad Innova Studio file manager e precisamente questa interfaccia di amministrazione dei contenuti che ci ricorda il noto Easy Content File Manager

Tra l'altro il sito brasiliano utilizzato parrebbe aver avuto problemi di hacking in passato come si vede da questa segnalazione Google Safe Browsing presente in rete

Come succedeva in passato abbiamo un file con codice di redirect che varia a seconda delle esigenze del phisher puntando in successione a diversi siti ospitanti il clone di Banca Popolare FriulAdria.

Questa la breve, e probabilmente incompleta, cronologia dei vari redirect che vedeva nella giornata di ieri, dopo un links a clone non attivo, questo codice

che puntava al solito dominio creato allo scopo di ospitare il phishing su servizio di hosting USA

Come succede spesso in questi casi, in serata (ora thai) avevamo il ritorno dell'uso da parte dei phishers ad un sito creato su Altervista allo scopo di ospitare il phishing

Sito Altervista che pero', era messo offline dall'hoster

cosa che imponeva ai phishers la ricerca o la creazione di un nuovo sito in cui depositare il clone della banca.

Si passava quindi ad 'aggiornare' il codice di redirect (in giallo)

che rilevo attivo questa mattina (thai time) 16 febbraio e che mostra un ritorno ad hoster USA

con dominio creato il
Noterete che sempre sul medesimo sito brasiliano che gestisce il redir e' comparso anche un altro file (in verde) che gestisce un redirect a C.R. Asti , ormai da tempo colpita dai phishers

E' probabile che, vedendo il sito attuale che ospita i redirects 'affidabile', i phishers abbiano optato per utilizzarlo anche a supporto dell'altra azione di phishing ai danni di C.R. Asti.

In questo caso hanno nuovamente scelto come hoster del clone, un sito creato su Altervista (con whois IT rispetto a whois tedesco di precedenti phishing), anche se probabilmente, rimarra' online per poco, vista una certa attivita' di contrasto messa in opera dall'hoster italiano.

Questo relativamente al phishing ai danni di Banca Popolare FriulAdria, che vedra' probabilmente nelle prossime ore, l'utilizzo di differenti redirects e/o siti per ospitare i cloni.

Vediamo ora cosa e' successo al phishing C.R Asti, molto attivo questi giorni.

C'e' subito da dire che uno dei due siti locati in Vietnam che supportava il redirect al phishing sembra essere diventato inaccessibile ai phishers

Probabilmente chi lo amministra si e' 'accorto' dello strano traffico 'italiano' in transito ed ha preso provvedimenti rendendo l'accesso possibile solo attraverso login.
Questa che vedete e' la versione tradotta di quanto viene presentato tentando di accedere all'Asset Manager disponibile nei giorni scorsi

Come curiosita' c'e' da notare che i codici di redirect presenti non sono stati cancellati dal sito e risultano tuttora presenti ed attivi anche se non puntano piu' a siti clone on-line. In questo caso probabilmente, chi ha bloccato l'accesso al file manager non ha cancellato i files di redirect presenti insieme ad altre decine di files legittimi.

L'altro sito di redirect vietnamita e' invece ancora attivo nel proporre Innova Studio Asset manager e redirige, ora, al nuovo sito Altervista, attualmente attivo nel proporre il clone C.R Asti.
Come visto prima lo stesso redirect e' anche presente sul sito brasiliano utilizzato per re-indirizzare anche al nuovo phishing Banca FriulAdria.

Sempre in relazione a phishing C.R. Asti, nella giornata di ieri, era anche presente in rete un sito clone hostato su server USA, phishing che attualmente pare comunque non piu' attivo.
Nonostante il sito di phishing visto ieri non sia piu' attivo , ne possiamo trovare traccia sulle statistiche online del sito che lo ospitava,

dove vediamo anche alcuni riferimenti a phishing Bank Of America.

La cosa particolare e' che il phishing Bank of America e invece tuttora attivo

cosa che potrebbe far pensare, piuttosto che ad un intervento di bonifica del sito, agli stessi phishers, che dopo l'uso, abbiano cancellato il folder con i contenuti clone C.R. Asti.

Edgar

Nessun commento: