venerdì 27 dicembre 2013

Phishing CartaSi con supporto di sito IT ampiamente compromesso(27 dicembre)

Ricevuta mail di phishing CartaSi


con allegato file html che propone form di login CartaSI con


a cui segue


Questi i riferimenti IP in header mail


Il form scaricato come allegato usa in realta' un frame per acquisire le credenziali di login


frame che vediamo in dettaglio


I contenuti del frame ed il successivo form di acquisizione dati, sono ospitati su sito IT


ampiamente compromesso con presenza non solo di folders che ospitano clone CartaSI 


con


ma anche folder con clone PosteIT


con form


Da notare oltre alla presenza di diverse shells PHP probabilmente usate dai phishers anche di un file manager che parrebbe essere piu' datato 


ma che comunque potrebbe essere stato utilizzato per uploadare i cloni ed i files di supporto al phishing.

Edgar

Nessun commento: