domenica 10 aprile 2011

Phishing Paypal su sito .IT compromesso ed effetti 'collaterali' (10 aprile)

Si tratta di phishing Paypal con form in lingua francese che vediamo nello screenshot

e che sfrutta come host il sito di nota azienda italiana di progettazione, produzione e commercializzazione di yacht.

Come succede molto spesso in questi casi, e' probabile che il sistema utilizzato per uploadare il phishing si basi sulla presenza di vullnerabilita' legate all'ambiente di sviluppo utilizzato per il sito.

In particolare in questo specifico caso e' presente un plugin Wordpress che utilizza questo folder per i contenuti di upload da remoto di files

e che assegna come nome dei folders, il valore numerico dell'IP di chi ha effettuato l'upload stesso:

Questo invece il codice php che effettua l'invio delle credenziali eventualmente sottratte a chi fosse caduto nel phishing.


Uno spiacevole effetto collaterale di questa azione di phishing e' invece il blocco del sito stesso da parte di Open DNS.

Si tratta di un blocco completo a partire dal dominio IT, che tutto sommato, e' forse piu' dannoso per il sito, che la stessa inclusione del clone al suo interno, cosa non visibile da chi normalmente visitasse le pagine on-line

Come si vede il sito, per chi usa Open DNS, e' diventato irraggiungibile, visto anche che il blocco della url coinvolge non solo quella propria del clone ma tutto il dominio e senza che appaia una opzione, per poter continuare ad aprire la homepage (opzione che ad esempio Firefox propone nelle sue finestre di allerta malware o phishing).

La sollecitudine legata al blocco di Open DNS si spiega forse con il fatto che proprio il noto sito di DB di azioni di phishing, Phishtank, fa parte della stessa azienda che gestisce Open DNS

Edgar

Nessun commento: