Ricevuta mail di phishing CartaSi
con allegato file html che propone form di login CartaSI con
a cui segue
Questi i riferimenti IP in header mail
Il form scaricato come allegato usa in realta' un frame per acquisire le credenziali di login
frame che vediamo in dettaglio
I contenuti del frame ed il successivo form di acquisizione dati, sono ospitati su sito IT
ampiamente compromesso con presenza non solo di folders che ospitano clone CartaSI
con
ma anche folder con clone PosteIT
con form
Da notare oltre alla presenza di diverse shells PHP probabilmente usate dai phishers anche di un file manager che parrebbe essere piu' datato
ma che comunque potrebbe essere stato utilizzato per uploadare i cloni ed i files di supporto al phishing.
Edgar
Nessun commento:
Posta un commento