sabato 16 febbraio 2013

Massive phishing against PayPal (16 febbraio)

Come e' noto, PayPal e' sicuramente una delle aziende piu' colpite da azioni di phishing.
Da analisi giornaliere di attacchi attraverso pagine clone a differenti banche ed aziende che offrono servizi in rete, si vede come una grande percentuale (forse quasi la meta' del numero di attacchi di phishing) sia riferita proprio  al noto servizio di pagamenti online. 
In  linea con questi dati, il phishing che esamineremo oggi assume caratteristiche da renderlo simile a quanto vediamo nella distribuzione di massa del malware, in particolare proprio perche' il notevole numero di questi cloni attivi PayPal rilevati, sembra avere fonte comune.
Questo particolare phishing PayPal si contraddistingue per la sua struttura  che vede coinvolti gli stessi nomi di folders , la presenza quasi sempre in chiaro del kit di phishing con uguale nome e il tipo di layout di pagine clone in lingua tedesca.

Ecco alcuni dettagli:

Questa la pagina in lingua tedesca comune a tutti i siti rilevati ed analizzati che hostano il phishing PayPal :


A sua volta tutti i siti compromessi che ospitano il phishing mostrano questa particolare struttura di folders:


Si tratta di folder dal nome formato da sequenza numerica (che pare random) che ospita a sua volta sempre 3 folders dai nomi, in tutti i casi visti, sempre uguali (ancora sequenza  numerica)
E' presente inoltre un file TAR che e' il kit di phishing.
Detto kit contiene i 3 folders che vediamo anche online


cosa che conferma l'utilizzo dei contenuti del file TAR proprio per creare i 3  folders contenenti tutti il fake sito PayPal e che spiega il perche' dei nomi sempre uguali rilevati nei siti compromessi esaminati.
Interessante come analizzando altri siti simili si noti sempre la seguente struttura e la presenza del kit di cui sopra.
Ad esempio ecco questo un altro sito compromesso che mostra date attuali per i tre folders inclusi.


Stranamente parrebbe che i phishers non si siano preoccupati di nascondere i contenuti del sito fake PayPal ed abbiano lasciato 'sul posto” anche il relativo KIT.
All'interno dei 3 folders presenti nel kit notiamo un notevole numero di files e tutti in data recente


Interessante anche  presenza di codici php che mostrano un sorgente piu' complesso rispetto a quelli gia' visti in passato.

Una ricerca in rete mostra come la quantita' di siti compromessi che ospitano identica struttura di folders ( con uguali nomi ) sia veramente notevole.


Si tratta di decine di siti tuttora perfettamente attivi, tra cui alcuni IT rilevati in questi giorni che hostano, in folders da nomi identici, gli stessi cloni PayPal.

Il fatto che il kit sia presente ed uguale in tutti i casi analizzati puo' voler dire che lo stesso sia stato distribuito in maniera estesa in rete, ma, il fatto che i contenuti siano gli stessi per tutti i kit online, potrebbe significare anche la medesima  'gestione' per tutti i phishing PayPal attualmente attivi con questa particolare struttura.

Edgar

Nessun commento: