venerdì 30 maggio 2008

Phishing e file zip

Ricevute tre nuove mails di phishing rispettivamente 2 ai danni di Paypal.it e una ai danni del gruppo Bancario UBI

A parte il solito tentativo di phishing che cerca di far loggare sul falso sito chi riceve la mail, vale la pena analizzare due di questi siti che presentano alcune sorprese

Il primo e' relativo alla falsa mail di QuiUbi
Questa e' la homepage di phishing hostata su server in USA


E' interessante notare la struttura del sito stesso che riporta nel folder DAPTRERT la pagina di login

ma che in un folder di livello superiore a questo riporta anche un login ad un sito di phishing

ai danni di yahoo mail


Molto piu' interessante e' invece il phishing ai danni di Paypal

che sembra essere ospitato su un sito di universita' della Mongolia (Ulanbaatar (la capitale),

anche se hostato su dominio della Corea.(KR)


Questa volta chi ha creato il sito di phishing su questo server ci ha messo a disposizione, sicuramente senza volerlo, il modo di analizzarne nei dettagli la struttura completa
Per prima cosa possiamo vedere che il sito di phishing e' contenuto in un folder creato appositamente in data recente

ed esaminandone il contenuto si nota la presenza del file ppit.zip

che scaricato ed aperto dimostra di essere la copia compressa del sito di phishing molto probabilmente utilizzata per l'installazione dello stesso


Analizzando il contenuto del file zip, tra le altre cose, notiamo il file samris.php

che contiene le istruzioni utilizzate per creare ed inviare i dati sensibili catturati dal sito di phishing ad una mail @gmail creata appositamente allo scopo ed anche un file immagine che, come vedremo, riproduce una falsa captcha che verra' utilizzata al momento della acquisizione dei nostri dati riservati per aumentare la credibilita' dell'operazione

Inoltre nello zip possiamo vedere tutta la struttura del sito di phishing con i relativi files html e php necessari al suo funzionamento

Sullo stesso folder abbiamo inoltre la presenza del file loginsecure.htm che punta ad altro server che hostava sito di phishing ma che ora e' offline (e' presente una scritta di avviso che informa del blocco della pagina in quanto phishing) ed inoltre il folder secure.acc che contiene l'attuale falso sito di Paypal.it

Questa e' la pagina di acquisizione dei dati riservati

che come vediamo ci mostra la falsa captcha, che in realta' non e' altro che il file immagine visto prima e che e' stato messo li solo per cercare di ingannare maggiormente chi immette i propri dati nel form.

Tra l'altro se si clicca sulla piccola icona dell'altoparlante viene scaricato un file wav dal sito originale Paypal che riproduce , in inglese, il testo della falsa captcha
Questo e' possibile perche' chi ha realizzato il sito di phishing ha provveduto a salvare nel sorgente della pagina il codice

che carica un file wav esattamente corrispondente alle lettere presenti nella captcha.

Edgar

Nessun commento: