giovedì 24 marzo 2011

Phishing ai danni di banche a diffusione regionale. Aggiornamento Cariparma (24 marzo)

Prosegue il phishing Cariparma che vede diversi redirects attivi ed anche mail di phishing con allegato che sfrutta un codice php presente sul sito israeliano gia' visto nei giorni scorsi.(sito bonificato ma nuovamente riutilizzato dai phishers)

Quello che si nota da questi attuali casi e' che viene utilizzato sia il redirect a clone su differente sito (attualmente dominio USA creato allo scopo) ma anche una copia della pagina di phishing Cariparma e' direttamente presente sullo stesso sito che ospita il redirect.
Detta pagina comunque non sempre e' funzionante, o meglio, viene correttamente visualizzata, ma al momento di eseguire il codice php ad essa collegato (invio credenziali sottratte), questo non e' eseguibile.

Ecco alcuni parziali dettagli sulla situazione attuale ricordando che proprio per la stessa natura delle azioni di phishing esaminate, i link potrebbero gia' essere stati modificati da chi li gestisce al momento di pubblicare questo post.

Questo un sito UK ma con whois USA che propone il consueto Innova Studio asset manager

con codice che punta a clone Cariparma su dominio USA, attualmente attivo come

Stesso domino USA utilizzato per il clone linkato anche da quest'altro sito, ancora con Innova Studio e che abbiamo gia' visto nella giornata di ieri

In questo caso e' presente oltre che al redirect anche una pagina clone ospitata direttamente sul sito e che propone il login Cariparma.
Un uguale tentativo di proporre pagina clone direttamente sul sito UK visto prima non risulta andare a buon fine vista l'impossibilita' di esecuzione del codice php che dovrebbe inviare al phisher le credenziali sottratte e redirigere sul reale sito della banca.

Altro phishing Cariparma attivo e' attualmente quello costituito da allegato in mail (segnalatomi da Denis Frati) e che utilizza un codice php di acquisizione credenziali e redirect al reale sito della banca.
A supporto di questo, viene utilizzata questa interfaccia Easy Content f.m.

sul sito israeliano che avevamo gia' visto online i giorni scorsi.

Da notare anche in questo caso la presenza del codice htm di pagina clone Cariparma, perfettamente funzionante.

Edgar

Nessun commento: