Ancora utilizzato il sito brasiliano visto i giorni scorsi e che presenta oggi due codici di redirect (particolare del file manager utilizzato dai phishers)
uno sempre a Banca Monte Parma ed hostato su Altervista
ed un nuovo redirect a phishing Banca Valsabbina che ritorna nuovamente nelle attenzioni dei phishers
Per Valsabbina
viene sfruttato come hosting del phishing un sito UK compromesso attraverso l'uso di Innova Studio Asset Manager
e che risulta essere lo stesso gia' utilizzato ad inizio febbraio per ospitare un clone di banca C.R. Asti.Questa la struttura del phishing con date attuali relativamente ai contenuti
ed anche
Singolare il fatto che il sito UK, nel caso di phishing C.R. Asti presentasse numerosi codici di shells (vedi precedente post) e fosse stato bonificato dagli stessi, ma evidentemente non si e' anche provveduto ad eliminare l'accesso free ad Innova StudioI codici php presenti confermano sempre la medesima mail di invio credenziali eventualmente sottratte
riconducendo anche questo phishing ai medesimi personaggi (R-team) che ormai da mesi gestiscono attacchi a banche IT a diffusione regionale.Aggiornamento ore 1.10 PM thai time (7.10 AM italian time)
In questo screenshot potete vedere come, dopo breve intervallo di tempo, il folder che contiene il clone Valsabbina abbia cambiato nome da
In questo screenshot potete vedere come, dopo breve intervallo di tempo, il folder che contiene il clone Valsabbina abbia cambiato nome da
a
Si tratta di una normale pratica portata avanti dai phishers e che abbiamo visto spesso in questi casi allo scopo di evitare eventuale blacklist del percorso al sito di phishing.E' probabile che in giornata assisteremo ancora a frequenti cambi sia di percorso al sito clone ma anche una possibile modifica del sito che ospita il phishing se quello UK attuale venisse bonificato dai contenuti di Banca Valsabbina.
La volta scorsa, nel caso Banca C.R. Asti detto sito era stato tempestivamente messo OFF-line come risulta da questo post.
Edgar
Nessun commento:
Posta un commento