venerdì 18 marzo 2011

Phishing ai danni di banche a diffusione regionale. Aggiornamento Monte Parma (agg.18 marzo)

Capita molto spesso, specialmente da parte del gruppo attivo da molto tempo (r-team) che opera ai danni di banche IT a diffusione regionale, il ritorno all'uso di vecchi indirizzi web gia' utilizzati in passato per azioni di phishing.

Questo fatto e' dovuto, di solito alla bassa percentuale di siti che una volta colpiti vengono bonificati da chi li gestisce, anche perche' l'inclusione di alcuni files html o php, specialmente per quelli che utilizzano files manager raggiungibili da remoto, puo' facilmente passare inosservata.

A volte si tratta poi di siti non piu' amministrati ed abbandonati in rete, ma che essendo ancora on-line possono essere facilmente utilizzati dai phishers.

Il fatto poi che chi gestisce i cloni decida di cambiare spesso il sito dove depositare i codici di phishing e' dovuto al tentativo di evitare che gli indirizzi web che puntano ai codici copia vengano black-listati e disabilitati.

Attualmente, per quanto si riferisce al phishing Banca Monte Parma abbiamo sempre il medesimo sito di redirect ma e' stato nuovamente modificato l'indirizzo al sito finale di phishing che e' tornato ad essere quello israeliano visto in precedenza ad esempio per phishing Cariparma

Da notare come il folder che ospita il clone Monte Parma sia 'ben fornito' in fatto di codici di shells (sia in chiaro che con codice offuscato) che di programma mailer.

La presenza di software di statistiche, sul sito israeliano usato per l'hosting dei cloni Monte Parma, permette di evidenziare che le pagine di destinazione per chi lo ha visitato in questi ultimi giorni o lo visita ora, siano essenzialmente quelle relative al phishing, indice di una probabile intensa campagna di invio di e-mails fraudolente.

Edgar

Nessun commento: