In questo caso viene utilizzato un redirect attraverso sito compromesso con whois USA
che punta al clone Paypal
Interessanti i contenuti presenti navigando tra i vari folders che costituiscono il sito di phishing.Ecco alcuni dettagli:
Il sito e' ospitato in subfolders di personalizzazione software di chat online e precisamente in quello che dovrebbe contenere i dati per la lingua turca
Al suo interno troviamo diversi files piu' il folder del sito clone IT di Paypal
Tra quelli present notiamo subito lo ZIP relativo al KIT di phishing
che, come sempre, rivela l'indirizzo mail di invio al phisher, delle credenziali eventualmente sottratte 
Questa volta, pero', se confrontiamo questi indirizzi con quelli attualmente ON-Line sul sito clone, vediamo come, a volte, il contenuto del Kit presenti alcune differenze sugli indirizzi di invio,
visto che il phisher puo' facilmente modificare il contenuto del file php direttamente sul sito clone online, come successo in questo caso.Interessante anche un codice per effettuare attacco 'Brute Force' sulle password di accesso Cpanel & FTP, che vediamo in questa schermata
Analizzando il medesimo indirizzo web dopo qualche ora 'salta fuori' anche un codice php (Work in progress ?)
di shell C99
che a sua volta permette, tra l'altro, di individuare un ulteriore file nascosto
Il sito di phishing propone il consueto login che punta a pagina di phishing con dettagliata richiesta di dati personali
da cui poi si viene rediretti al reale sito Paypal in lingua italiana.Edgar
Nessun commento:
Posta un commento