Continua sempre sostenuto il phishing ai danni di banche IT a diffusione regionale con la novita' di Banca Modenese (Gruppo CARIFE) che si va ad aggiungere a quelle colpite in precedenza.
il cui clone viene ospitato su un dominio utilizzato anche attualmente per phishing C.R. Asti.
Inoltre e' sempre attivo il phishing Banca Popolare FriulAdria, ma su differente dominio.
In tutti e tre i casi si tratta comunque sempre di hoster USA e di domini creati da poche ore per ospitare i contenuti di phishing.
In questi casi appare anche disponibile il log di chi si connette al server, cosa che permette una analisi della 'provenienza' del phisihng, analisi che che vediamo riassunta in questo screenshot
Come si nota, e' possibile paragonare l'ora di creazione dei files sul server con il time di chi accede al sito rilevato sul log.
Attraverso la coincidenza tra i tempi di upload dei files ed il time di accesso presente nel log si puo' quindi associare il 'gestore del phishing' con l'indirizzo IP di provenienza (presente sul dal log)
Il risultato e' un indirizzo IP che punta, nei casi visti ormai da mesi con questa tipologia, sempre a range romeno.
Scrivevo nel titolo 'ottimizzazione dell'hosting' in quanto possiamo vedere che i phishers questa volta, e non succede poi molto spesso, hanno usato il medesimo dominio per ospitare piu' phishing, ed inoltre stanno utilizzando anche lo stesso sito compromesso brasiliano per ospitare i differenti codici di redirects alle varie banche da colpire.
Ecco infatti che sul sito .br che utilizza un file manager, simile se non uguale nell'interfaccia, ad Easy Content File Manager, compaiono attualmente 4 files di redirect
e
che puntano (notre il diverso nome del file .htm/.html vicino alla scritta 'editando') sia a Banca Popolare FriulAdria (diverso domino di phishing)
a C.R Asti (2 redirects)
ed a Banca Modenese (nuova arrivata)
Come sempre si tratta di una situazione in continua evoluzione che vedra' nelle prossime ore qualche probabile modifica ai codici di redirect, al dominio dove e' ospitato il phishing e magari anche la comparsa di un nuovo Istituto Bancario da colpire.
Edgar
Ricordo che Banca Modenese compariva in caso di phishing lo scorso anno in questo post dove possiamo notare molte analogie con quello odierno, specialmente per la gestione del redirect che, ai tempi, utilizzava il ben noto Easy Content File Manager.
Ecco la pagina di phisihng ai danni di Banca Modenese (Gruppo CARIFE)
il cui clone viene ospitato su un dominio utilizzato anche attualmente per phishing C.R. Asti.
Inoltre e' sempre attivo il phishing Banca Popolare FriulAdria, ma su differente dominio.
In tutti e tre i casi si tratta comunque sempre di hoster USA e di domini creati da poche ore per ospitare i contenuti di phishing.In questi casi appare anche disponibile il log di chi si connette al server, cosa che permette una analisi della 'provenienza' del phisihng, analisi che che vediamo riassunta in questo screenshot
Come si nota, e' possibile paragonare l'ora di creazione dei files sul server con il time di chi accede al sito rilevato sul log.Attraverso la coincidenza tra i tempi di upload dei files ed il time di accesso presente nel log si puo' quindi associare il 'gestore del phishing' con l'indirizzo IP di provenienza (presente sul dal log)
Il risultato e' un indirizzo IP che punta, nei casi visti ormai da mesi con questa tipologia, sempre a range romeno.
Scrivevo nel titolo 'ottimizzazione dell'hosting' in quanto possiamo vedere che i phishers questa volta, e non succede poi molto spesso, hanno usato il medesimo dominio per ospitare piu' phishing, ed inoltre stanno utilizzando anche lo stesso sito compromesso brasiliano per ospitare i differenti codici di redirects alle varie banche da colpire.
Ecco infatti che sul sito .br che utilizza un file manager, simile se non uguale nell'interfaccia, ad Easy Content File Manager, compaiono attualmente 4 files di redirect
e
che puntano (notre il diverso nome del file .htm/.html vicino alla scritta 'editando') sia a Banca Popolare FriulAdria (diverso domino di phishing)
a C.R Asti (2 redirects)
ed a Banca Modenese (nuova arrivata)
Come sempre si tratta di una situazione in continua evoluzione che vedra' nelle prossime ore qualche probabile modifica ai codici di redirect, al dominio dove e' ospitato il phishing e magari anche la comparsa di un nuovo Istituto Bancario da colpire.Edgar
Nessun commento:
Posta un commento