Detti codici erano stati modificati ieri, dopo la messa OFF-line del sito clone C.R.Asti su Altervista,
facendoli puntare a sito con whois UK che, anche questa volta attraverso il supporto di Asset Manager Innova Studio, ospitava il sito di phishing.Dopo breve tempo il sito UK appariva bonificato dal clone, cosa che faceva pensare a ulteriore modifica da parte dei phishers del redirect per puntare a nuova 'destinazione' del sito di phishing C.R. Asti
Cosa che avveniva puntualmente utilizzando questa volta sito su server IT
con la consueta presenza di Asset manager Innova Studio
che permette la creazione dei folders e l'upload dei contenuti di phishing come vediamo indicato sullo screenshot.
Da notare come siano presenti anche diversi files php di codice di shell che comunque parrebbero essere non legati direttamente all'azione di phishing.
Come succede quasi sempre, sino a che il sito .IT compromesso restera' sfruttabile dai phishers assisteremo a ricorrenti cambi del percorso al clone C.R Asti all'interno dello stesso (gia' 2 volte da ieri), e sempre allo scopo di evitare di essere presenti in eventuali blacklist
Questa cosa e' puntualmente accaduta qualche minuto fa mentre scrivevo il post e vede ora un nuovo percorso al sito clone della banca
Nello screenshot, sono evidenziati anche i due codici php che inviano ai phishers i dati eventualmente catturati da chi avesse effettuato il login e che mostrano sempre identica mail gia' vista in passato per il gruppo di phishers denominato da Denis Frati R-Team.
Edgar
Nessun commento:
Posta un commento