venerdì 18 febbraio 2011

Brasiliani. Ritorna il phishing Banca Monte Parma mentre continua anche quello Banca Modenese (Agg. 18 febbraio)

Sembra che al momento i phishers considerino i siti brasiliani compromessi un ottimo supporto al redirect verso i cloni delle banche IT

Questa mattina abbiamo infatti sempre attivi i due siti con whois BR che propongono i codici di redirect

Questo quello gia' analizzato ieri

con whois

che presenta ora due codici attivi che puntano rispettivamente ancora a Banca Modenese

e ad un 'ritorno' di Banca Monte Parma

hostata su Altervista


Interessante anche il secondo sito di redirect attivo sempre su IP brasiliano

con presente l'immancabile interfaccia Asset Manager Innova Studio

che rivela attivo scruci.htm sempre con redirect a Banca Modenese

Come succede spesso, il contenuto del folder gestito da Asset Manager, rivela anche azioni di hacking

e la presenza di diversi codici di shells tra cui questa ASPXspy dal layout estremamente curato


piu' le solite shells meno curate nel interfaccia

Per il phishing Banca Monte Parma si tratta di un ritorno dopo il periodo di fine 2010 che vedeva la banca emiliana molto colpita.
Una delle prime segnalazioni sul blog risale comunque a fine ottobre 2010

Anche in alcuni dei casi odierni e' possibile verificare le 'corrispondenze' tra logs, tempi di creazione files del clone sul server che lo ospita ed IP correlati, come gia' descritto ampiamente in passato.

Questo ad esempio nell'attuale caso Banca Modenese

Come si vede l'analisi puo rivelare interessanti particolari sui 'personaggi' coinvolti nella gestione del phishing e sulla loro provenienza nonche', naturalmente, su chi potrebbe essere caduto nel trenello del sito clone.

Edgar

2 commenti:

denis ha detto...

in fin dei conti per il clone Banca Modenese stanno usando lo stesso sito su Yahoo "solo" dalle 14:40 di ieri :-)

Edgar Bangkok ha detto...

Sfaticati !!! :)