giovedì 25 aprile 2013

Phishing webmail hostato su sito compromesso di P.A. Italiana (25 aprile)

Come visto in recenti post sono parecchi i siti IT che per differenti scopi vengono compromessi.
E' il caso ad esempio di supporto a phishing come in questo attuale sito comunale IT sviluppato in 


e che presenta una grande quantita' di phishing ai danni di vari servizi webmail. 

Naturalmente insieme ai cloni ed ai relativi KITS di phishing sono stati uploadati sul sito diversi tools di hacking e di supporto al phishing come ad esempio un codice php mailer.
Ecco alcuni files contenuti nel folder usato dai phishers:


Ecco alcuni dettagli che mostrano l'ampio numero di files uploadati e i vari phishing presenti:

Questo il clone Google Drive con accesso multiplo a servizi di webmail


dove, come visto molto in passato, viene proposto un form personalizzato a seconda del servizio webmail scelto.

Avremo quindi login fake ad Hotmail


Yahoo


Gmail


AOL


ed uno generico login fake di accesso mirato a chi utilizzasse differente servizio di webmail non presente tra quelli citati.


Oltre a questo, analizzando in dettaglio i contenuti del folder usato dai phishers troviamo questo clone Wiindows Live – Hotmail 


ma non solo...

Appare infatti presente un ulteriore clone di accesso a webmail che parrebbe essere associato a phishing DHL (nota azienda spesso colpita dai phishers) 


con la presenza anche  di questo fake form sempre legato a DHL:


Come se non bastasse si nota pure un subfolder che contiene a sua volta un clone di phishing webmail associabile a Remax


Remax e' una azienda che si occupa del mercato immobiliare USA ed e' sempre molto sfruttata dai phishers per gestire decine di pagine clone di acquisizione credenziali di accesso a webamail.

Questo un esempio tratto da Phishtank


Come detto, i phishers non si sono solo limitati a creare i cloni sul sito compromesso ma hanno anche uploadato shell php e mailer


Tra l'altro uno dei codici php a supporto del phishing


 mostra un riferimento ad altra url che parrebbe essere pagina clone di fake form ai danni di Global Logistics sempre con il medesimo layout anche legato a phishing Remax.


Edgar

Nessun commento: