Come allora, infatti, si tratta di uh sito compromesso quasi sicuramente attraverso l'utilizzo delle possibilita' offerte dall'interfaccia di OsCommerce, accessibile senza restrizioni da remoto
Il sito di phishing
e' in realta' composto da una sola pagina di login
che tramite codice php invia al phisher le credenziali di accesso eventualmente catturate.Notare l'indirizzo e-mail
uguale,ad esempio, a quello del caso Banca Cividale,
e sempre su dominio ITQuesta la struttura del sito compromesso dove vediamo data recente per folder 'med' che ospita appunto il phishing.
Come si vede molte analogie con casi precedenti tra cui in particolare, stesso indirizzo email di invio credenziali sottratte, hosting anche questa volta su sito che utilizza piattaforma OsCommerce,presenzaz di medesima shell comandi utilizzata probabilmente per gestire il sito clone.Da notare la presenza sul sito anche di software di statistiche (webalizer), di cui vediamo un particolare della una tabella Ip degli ultimi accessi, sulla quale e' stato eseguito un whois multiplo, per meglio identificare la nazionalita' di provenienza delle visite.
Edgar
Nessun commento:
Posta un commento