Si tratta di questa mail
con allegato form di acquisizione credenziali di accesso a Banca Mediolanum, ed il cui layout ricorda quello di una recente mail con form di phishing CartaSi (anche stessi riferimenti a VISA e Mastercard)
Anche gli headers relativi alla fake mail Mediolanum
sono in parte simili (probabile IP di origine del messaggio) a quelli del fake messaggio CartaSi
Questo il form allegato che mostra il consueto layout che di solito richiede i dati di login al conto on-line
Interessante il codice php che gestisce l'acquisizione delle credenziali sottratte
e che risulta hostato su sito con whois USA e con folder esplorabile
Questo rivela la presenza di un file di testo di acquisizione delle credenziali digitate .
Una analisi del file vedeva in un primo tempo l'assenza di dati tranne quelli probabilmente relativi ad un test del form e del relativo codice php da parte del phisher.
L'indirizzo IP risulta ancora una volta attribuibile a hoster romeno
come succede molto spesso in questi casi.
Una ulteriore analisi del file di credenziali mostra, dopo qualche tempo, la comparsa di dati (piu' o meno attendibili)
cosa che dimostra che le mails inviate incominciano ad essere ricevuto dagli utenti target di questo attacco d phishing.
Una volta acquisito i dati salvandoli sul file di testo, il codice php redirige a questa pagina del reale sito Mediolanum banca, relativa ad info sulla privacy.
Edgar
con allegato form di acquisizione credenziali di accesso a Banca Mediolanum, ed il cui layout ricorda quello di una recente mail con form di phishing CartaSi (anche stessi riferimenti a VISA e Mastercard)
Anche gli headers relativi alla fake mail Mediolanum
sono in parte simili (probabile IP di origine del messaggio) a quelli del fake messaggio CartaSi
Questo il form allegato che mostra il consueto layout che di solito richiede i dati di login al conto on-line
Interessante il codice php che gestisce l'acquisizione delle credenziali sottratte
e che risulta hostato su sito con whois USA e con folder esplorabile
Questo rivela la presenza di un file di testo di acquisizione delle credenziali digitate .Una analisi del file vedeva in un primo tempo l'assenza di dati tranne quelli probabilmente relativi ad un test del form e del relativo codice php da parte del phisher.
L'indirizzo IP risulta ancora una volta attribuibile a hoster romeno
come succede molto spesso in questi casi.Una ulteriore analisi del file di credenziali mostra, dopo qualche tempo, la comparsa di dati (piu' o meno attendibili)
cosa che dimostra che le mails inviate incominciano ad essere ricevuto dagli utenti target di questo attacco d phishing.Una volta acquisito i dati salvandoli sul file di testo, il codice php redirige a questa pagina del reale sito Mediolanum banca, relativa ad info sulla privacy.
Edgar
Nessun commento:
Posta un commento