E' il caso di alcune mails ricevute attualmente
che presentano un messaggio (peraltro con qualche errore di italiano specialmente nella parte finale del testo) che invita a consultare l'allegato in mail.L'header del messaggio presenta un discreto numero di 'salti' tra vari IP essenzialmente locati in India e Cina
C'e' da rilevare che normalmente gli allegati di phishing consistono in un codice di form che viene aperto localmente sul PC di chi ha ricevuto la mail fraudolenta, per poi inviare i dati inseriti tramite un codice php ospitato sul solito sito compromesso.Nei casi odierni e' invece interessante notare (gia' dalle molto ridotte dimensioni dell'allegato) che siamo in presenza di un piccolo codice semplicemente offuscato e non di un completo layout di pagina
che decodificato mostra un link al sito di phishing PostePay
con whois
e con layout
da cui
Probabilmente il fatto di offuscare, seppur debolmente, il codice dell'allegato indica il tentativo di eludere eventuali filtri alle mail di spam di phishing.Di contro includendo nell'allegato solo un link, si perde il vantaggio per i phishers di avere un form ospitato interamente sul pc dell'utente PostePay colpito, cosa che permette normalmente di evitare la messa offline del clone di phishing poiche' allegando il form completo in mail si utilizza solo un sito in rete per ospitare un codice PHP di invio credenziali sottratte, di dimensioni ridotte e difficilmente identificabile.
In definitiva potremmo dire che questa volta l'allegato funziona semplicemente come un link offuscato a sito di phishing piuttosto che come il completo layout di form di login in mail che siamo di solito abituati a vedere in questi casi di phishing.
Edgar
Nessun commento:
Posta un commento