martedì 15 febbraio 2011

Phishing Banca C.R. Asti (agg.15 febbraio)

Nel tardo pomeriggio di ieri (ora thai) sono di nuovo cambiati i codici di redirect presenti sui due siti .vn (Vietnam) che da qualche giorno ospitano i files che puntano al clone Banca C.R. Asti.

Detti codici erano stati modificati ieri, dopo la messa OFF-line del sito clone C.R.Asti su Altervista,

facendoli puntare a sito con whois UK che, anche questa volta attraverso il supporto di Asset Manager Innova Studio, ospitava il sito di phishing.
Dopo breve tempo il sito UK appariva bonificato dal clone, cosa che faceva pensare a ulteriore modifica da parte dei phishers del redirect per puntare a nuova 'destinazione' del sito di phishing C.R. Asti

Cosa che avveniva puntualmente utilizzando questa volta sito su server IT

con la consueta presenza di Asset manager Innova Studio


che permette la creazione dei folders e l'upload dei contenuti di phishing come vediamo indicato sullo screenshot.

Da notare come siano presenti anche diversi files php di codice di shell che comunque parrebbero essere non legati direttamente all'azione di phishing.

Come succede quasi sempre, sino a che il sito .IT compromesso restera' sfruttabile dai phishers assisteremo a ricorrenti cambi del percorso al clone C.R Asti all'interno dello stesso (gia' 2 volte da ieri), e sempre allo scopo di evitare di essere presenti in eventuali blacklist

Questa cosa e' puntualmente accaduta qualche minuto fa mentre scrivevo il post e vede ora un nuovo percorso al sito clone della banca


Nello screenshot, sono evidenziati anche i due codici php che inviano ai phishers i dati eventualmente catturati da chi avesse effettuato il login e che mostrano sempre identica mail gia' vista in passato per il gruppo di phishers denominato da Denis Frati R-Team.

Edgar

Nessun commento: