Come mi segnala Dennis Frati, ecco un nuovo phishing Cariparma che vede questa volta un insolito redirect a clone che solo in parte viene ospitato sul sito linkato ma vede il codice php di invio credenziali eventualmente sottrattte, incluso in differente sito (comunque gia' utilizzato ieri come hosting di clone Cariparma).
Questi phishing Cariparma sfruttano una struttura molto semplice; si tratta infatti di soli due files e precisamente una pagina html che riproduce un form di login Cariparma adattato alle esigenze del phishing (un campo aggiuntivo per la password dispositiva)
Questo il reale form di login Cariparma
e un file php (privati.php) che si occupa di acquisire i dati del form, inviarli via mail e redirigere sul reale sito Cariparma
Una struttura del genere permette facilmente di uploadare i contenuti di phishing con l'ausilio di uno dei tanti files manager eseguibili da remoto ed infatti normalmente si utilizzano siti con Innova Studio Asset Manger, Easy Content file manager ecc.....
La particolarita' e' che questa volta, probabilmente a causa dell'impossibilita dell'esecuzione di codici PHP sul sito turco che ospita il clone , il file PHP, che di solito e' nel medesimo folder del file html (il form di phishing) , e' presente invece su un terzo sito (quello gia' usato ieri per ospitare un clone Cariparma)
Vediamo i dettagli:
Si parte da questo sito con whois USA sul quale l'Asset Manager Innova Studio ha permesso l'upload da remoto di un codice html di redirect.
Il link punta a sito con whois turco
che ospita un Asset Manager (dal layout piu' recente rispetto al solito)
che come vediamo evidenzia la presenza del solo codice html relativo al falso login Cariparma.
L'assenza del codice php si spiega nel fatto che intanto l'interfaccia Asset Manager non permette l upload di codici PHP (by-passabile comunque con l'uso di doppia estensione) ma anche, cosa piu' importante, non esistono i permessi necessari ad una loro esecuzione nel folder in questione.
Esaminando il codice del form
si scopre pero' che i phishers hanno facilmente risolto il 'problema' utilizzando un file PHP ospitato su altro sito, che e' poi quello gia' visto ieri per l'hosting di un clone Cariparma.
Edgar
Questi phishing Cariparma sfruttano una struttura molto semplice; si tratta infatti di soli due files e precisamente una pagina html che riproduce un form di login Cariparma adattato alle esigenze del phishing (un campo aggiuntivo per la password dispositiva)
Questo il reale form di login Cariparma 
e un file php (privati.php) che si occupa di acquisire i dati del form, inviarli via mail e redirigere sul reale sito Cariparma
Una struttura del genere permette facilmente di uploadare i contenuti di phishing con l'ausilio di uno dei tanti files manager eseguibili da remoto ed infatti normalmente si utilizzano siti con Innova Studio Asset Manger, Easy Content file manager ecc.....
La particolarita' e' che questa volta, probabilmente a causa dell'impossibilita dell'esecuzione di codici PHP sul sito turco che ospita il clone , il file PHP, che di solito e' nel medesimo folder del file html (il form di phishing) , e' presente invece su un terzo sito (quello gia' usato ieri per ospitare un clone Cariparma)
Vediamo i dettagli:
Si parte da questo sito con whois USA sul quale l'Asset Manager Innova Studio ha permesso l'upload da remoto di un codice html di redirect.
Il link punta a sito con whois turco
che ospita un Asset Manager (dal layout piu' recente rispetto al solito)
che come vediamo evidenzia la presenza del solo codice html relativo al falso login Cariparma.L'assenza del codice php si spiega nel fatto che intanto l'interfaccia Asset Manager non permette l upload di codici PHP (by-passabile comunque con l'uso di doppia estensione) ma anche, cosa piu' importante, non esistono i permessi necessari ad una loro esecuzione nel folder in questione.Esaminando il codice del form
si scopre pero' che i phishers hanno facilmente risolto il 'problema' utilizzando un file PHP ospitato su altro sito, che e' poi quello gia' visto ieri per l'hosting di un clone Cariparma.
Edgar
Nessun commento:
Posta un commento