venerdì 8 aprile 2011

Phishing Cariparma con redirect gestito da Easy Content f.m. (aggiornamento 8 aprile)

Ancora una nuova mail ai danni di Cariparma

con layout identico ad alcune precedenti mail di phishing descritte qui, tra cui anche una Cariparma.

Anche se layout uguali fanno pensare a stesso gruppo di phishers questa attuale mail Cariparma presenta differente struttura del redirect in quanto abbiamo nuovamente un codice che punta a sito clone gestito con Easy Content file manager

contrariamente al caso Cariparma descritto in precedenza che non vedeva la presenza di file manager pur con mail praticamente identica a quella odierna..

Lo stesso Easy Content file manager utilizzato oggi e' comunque gia' stato utilizzato in precedenza ed ancora proprio per phishing Cariparma come descritto qui.

Ecco una tabella che cerca di riassumere alcuni dei phishing Cariparma degli ultimi giorni (l'indicazione NO MAIL significa che non e' stato possibile esaminare il layout mail (links da DB online, segnalazione.. ecc...))

e su cui possiamo evidenziare

1] Mails di phishing con identico layout (tranne alcuni dettagli differenti ma probabilmente dovuti al metodo utilizzato per l'invio del messaggio)

2] Pur trattandosi di identico layout mail abbiamo una differente gestione del redirect al clone (in un caso quasi sicuramente attraverso Easy Content f.m.)

3] 2 dei phishing Cariparma (tra cui quello attuale) usano lo stesso sito con whois Turco attraverso il medesimo Easy Content file manager

4] Viene comunque anche utilizzato un altro file manager Easy Content per supportare il codice di redirect e sempre su sito ospitato dal medesimo hoster turco (simile IP e stesso nome di hoster)

Tornando al phishing Cariparma odierno, il clone a cui si viene rediretti e' ospitato sempre su hosting USA e medesimo dominio della segnalazione di ieri

Edgar

Nessun commento: