Come ormai ben documentato in rete ed anche sul blog, l'azione dei phishers vede in moltissimi casi l'utilizzo a supporto dell'hosting dei cloni di phishing, sia siti che propongono on-line vie di accesso senza restrizioni ai contenuti degli stessi (Innova Studio File Manager e' uno dei piu' utilizzati) sia vulnerabilita' diffuse.
Tra quelle piu' utilizzate ultimamente in attacchi a CartaSi c'e' quella WordPress definita come 'WordPress Timthumb Vulnerability' (qui alcuni dettagli) e che e' usata anche nel caso odierno.
Si tratta di vulnerabilita' diffusa e che e' ben documentata in rete da tempo come vediamo in questo articolo apparso online nel novembre 2011 “Hackers 'Timthumb' Their Noses At Vulnerability To Compromise 1.2 Million Sites...........”
Tornando al caso odierno, questa la mail ricevuta
con primo IP negli headers italiano:
Il form di phishing CartaSi allegato
utilizza come codice di acquisizione dei dati introdotti, un php ospitato su sito sviluppato in WordPress e compromesso.
Questo un dettaglio del folder collegato appunto al plugin Timthumb sul sito colpito, che vede oltre che al codice php anche numerosi codici di shells legati alla vulnerabilita', alcune shells ed anche un file di testo su cui vengono salvate le credenziali sottratte.
Il php linkato dal form,infatti
oltre che ad inviare,come succede quasi sempre, le credenziali sottratte al phisher tramite e-mail (indirizzo gia' visto in altri recenti casi di phishing CartaSi) scrive sul file evidenziato nello screenshot, i dati personali acquisiti a chi fosse caduto nel tranello della fake comunicazione CartaSi.
Edgar
Tra quelle piu' utilizzate ultimamente in attacchi a CartaSi c'e' quella WordPress definita come 'WordPress Timthumb Vulnerability' (qui alcuni dettagli) e che e' usata anche nel caso odierno.
Si tratta di vulnerabilita' diffusa e che e' ben documentata in rete da tempo come vediamo in questo articolo apparso online nel novembre 2011 “Hackers 'Timthumb' Their Noses At Vulnerability To Compromise 1.2 Million Sites...........”
Tornando al caso odierno, questa la mail ricevuta
con primo IP negli headers italiano:
Il form di phishing CartaSi allegato
utilizza come codice di acquisizione dei dati introdotti, un php ospitato su sito sviluppato in WordPress e compromesso.
Questo un dettaglio del folder collegato appunto al plugin Timthumb sul sito colpito, che vede oltre che al codice php anche numerosi codici di shells legati alla vulnerabilita', alcune shells ed anche un file di testo su cui vengono salvate le credenziali sottratte.
Il php linkato dal form,infatti
oltre che ad inviare,come succede quasi sempre, le credenziali sottratte al phisher tramite e-mail (indirizzo gia' visto in altri recenti casi di phishing CartaSi) scrive sul file evidenziato nello screenshot, i dati personali acquisiti a chi fosse caduto nel tranello della fake comunicazione CartaSi.Edgar
Nessun commento:
Posta un commento