mercoledì 14 dicembre 2011

On-line l'ennesimo Phishing CartaSi (14 dicembre)

Ricevuta fake mail ai danni di CartaSi, che si dimostra, attualmente, una delle aziende piu' prese di mira dai phishers.
Il layout e' praticamente identico a precedenti mails,

e vede come headers anche un IP “da queste parti “

Il link punta questa volta a sito italiano

pesantemente compromesso al punto che si possono rilevare anche da una sommaria analisi, parecchie shells php, file zippato contente una serie di pagine di pharmacy

e relativo contenuto estratto sul sito,

Un folder

con decine di pagine simili a blog utilizzate probabilmente per linkare ad altri siti di di dubbia affidabilita'


ed inoltre sono anche presenti links a siti porno.

Chiaramente un sito compromesso e facilmente utilizzabile dai phishers come hosting del codice di redirect


che punta a sito compromesso USA sviluppato in WordPress e che mostra questa struttura di folders che contiene il clone CartaSi

Questo uno dei codici php

che redirigono al reale sito dopo aver inviato al phisher la mail con i dati eventualmente sottratti a chi fosse caduto nel tranello della falsa mail.

Edgar

Nessun commento: