martedì 19 novembre 2013

Nuova mail di phishing Vodafone (18 - 19 novembre)

Sempre intenso nelle ultime ore il phishing ai danni di Vodafone.
Questa la mail ricevuta nella giornata di ieri, con testo che propone i consueti bonus


e che presenta il source codificato in base64.


Come si nota dalla decodifica del source mail il logo e' costituito da immagine .png linkata da legittimo sito Vodafone.

Il link in mail punta a sito compromesso che ospita il folder 'voda' contenente i codici di phishing.


Come accade spesso in questi casi una analisi del sito mostra la presenza di alcune shells php tra cui


probabilmente usate sia a supporto dell'attuale phishing ma anche per precedenti azioni di hacking

Per quanto si riferisce alla struttura del sito clone abbiamo il tipico folder e la presenza del KIT di phishing in formato compresso


Nel dettaglio il folder che hosta i codici di phishing mostra come siano anche presenti due folders relativi a pagine PosteIT e Lottomatica, come gia' visto ampiamente in precedenti casi.


Da notare come il codice php che gestisce l'invio al pisher, via mail, delle credenziali eventualmente sottratte, 


mostri data aggiornata ad ieri
Il layout del form clone e' identico a precedenti phishing Vodafone, cosa che conferma ulteriormente l'utilizzo del medesimo KIT ormai rilevato online da diversi mesi.


Edgar

Nessun commento: