Ricevuta una mail di phishing ai danni di PosteIT
che dimostra linkare a sito di phishing hostato su sito compromesso il cui IP non e' tra i piu' diffusi, almeno per mails simili ricevute sino ad ora.
La mail e' costituita da una unica immagine png che riproduce il testo del messaggio, e che presenta link a questo server su IP indiano, dove risiede il codice di redirect.
Il sito finale di phishing presenta invece whois che punta a server africano e precisamente del Niger
Esaminando la homepage del sito compromesso che ospita il phishing, sembra trattarsi di un sito di fornitore di connessioni Internet.
Nel dettaglio, all'interno del sito , e' presente questo folder, che contiene anche il KIT di phishing, probabilmente utilizzato
Questa invece la struttura del sito di phishing, che mostra comunque date non recenti relativamente ai files presenti.
![](//1.bp.blogspot.com/_-6waw8mcpyI/S4od57fx5EI/AAAAAAAAXjg/YDi0y11Ft4U/s320/struct+site+ph.jpg)
Edgar
![](http://1.bp.blogspot.com/_-6waw8mcpyI/S4oeBasvapI/AAAAAAAAXj4/M4DsuOS4JG0/s320/mail.jpg)
La mail e' costituita da una unica immagine png che riproduce il testo del messaggio, e che presenta link a questo server su IP indiano, dove risiede il codice di redirect.
![](http://2.bp.blogspot.com/_-6waw8mcpyI/S4od6QuQcII/AAAAAAAAXjw/i8X1DpUTFxo/s320/link+whois+redir.jpg)
![](http://4.bp.blogspot.com/_-6waw8mcpyI/S4od4ttps9I/AAAAAAAAXjQ/_Md41Jfc1AU/s320/niger+whois.jpg)
![](http://1.bp.blogspot.com/_-6waw8mcpyI/S4od5XzDONI/AAAAAAAAXjY/60JHStGm2mM/s320/fornitore+serv+niger.jpg)
![](http://2.bp.blogspot.com/_-6waw8mcpyI/S4od6GchCnI/AAAAAAAAXjo/J7gakdmqHcA/s320/kit+su+server+niger.jpg)
![](http://1.bp.blogspot.com/_-6waw8mcpyI/S4od57fx5EI/AAAAAAAAXjg/YDi0y11Ft4U/s320/struct+site+ph.jpg)
Edgar
1 commento:
effettivamente sembra si tenda ad una migrazione verso dominii africani, negli ultimi 10 gg mi sono capitati fake site e redirect su due domini marocchini
Posta un commento