venerdì 31 gennaio 2014

Ancora phishing CREDEM. Utilizzo di href.li per 'nascondere' il referrer (21 gennaio)

Si tratta di phishing ai danni di CREDEM attivo sino alla serata di ieri (30 gennaio thai time)
La cosa interessante non e' tanto il layout complessivo del phishing (mail simile alle precedenti e forms uguali a quelli recentemente analizzati QUI) ma piuttosto l'allegato utilizzato e la lunga catena di redirect per giungere al fake sito Credem nonche' l'utilizzo finale del sito href.li per 'nascondere' il referrer di chi fosse caduto nel phishing

Questa la mail


che presenta header con IP origine simile a quello del caso precedente.


Come si vede dallo screenshot, abbiamo messaggio mail con allegato html, il cui source mostra un contenuto debolmente offuscato


e che de-offuscato mostra


Si  tratta di codice html contenente testo con nessun riferimento al phishing (ma probabilmente utile per rendere meno rilevabili i contenuti di phishing) ed un frame con link a redirect.

Questo come appare il source dell'allegato quando caricato dal browser.


Una analisi Fiddler mostra poi una serie di redirects che puntano ai contenuti di phishing


In pratica chi aprisse l'allegato presente in mail vedra' 


come contenuto visualizzato localmente, ma in realta' i forms di phishing presentati dal browser risulteranno essere quelli su (notare il tentativo di creare url dal nome ingannevole https://credembank....... )


Una analisi dei contenuti del sito compromesso che ospita il phishing mostra anche riferimenti ad azione di hacking:


La struttura del phishing, come detto, risulta simile ai precedenti Credem con


a cui segue


e


Una volta confermati i dati, Fiddler non ci mostra il tipico redirect diretto al legittimo sito Credem, ma l'utilizzo del sito href.li.


Il servizio fornito da href.li permette di rendere 'anonimo' il referrer collegato al sito di provenienza di chi visita una pagina web.


Ricordo che il referrer e' 
“..... l'URL di un elemento che conduce all'elemento corrente: ad esempio, il referer di una pagina HTML puo' essere un'altra pagina HTML. In sostanza, esso rappresenta la fonte dalla quale un utente e' venuto a conoscenza di una pagina. Il referer e' parte integrante di una request HTTP inviata dal browser al webserver.....” (fonte Wikipedia) 

In questo caso, quindi, l'uso di href.li potrebbe essere semplicemente utilizzato dai phishers, proprio per nascondere, a chi amministra il reale sito Credem, la provenienza da sito di phishing di chi viene rediretto alla fine della sequenza di forms fraudolenti.
Attraverso una analisi dei referrer di chi si connette al legittimo sito Credem si potrebbe infatti monitorare l'attivita' dei phishers, rilevando quanti siano gli utenti che si connettono come conseguenza di una 'visita' al sito fraudolento di phishing.

Edgar

Nessun commento: