mercoledì 16 giugno 2010

Phishing PosteIT su Shop-Script FREE

Ricevuta, dopo parecchio tempo in cui le mails di phishing PosteIT erano praticamente scomparse dalle mie mailbox di riferimento, questa mail che ripropone il solito bonus

Il link presente punta a sito compromesso con whois canadese che include questo codice di redirect

sul sito finale di phishing

con whois

Ecco come si presenta la struttura dei folder che ospitano il phishing

dove notiamo la presenza di un file compresso contenete il kit di phishing relativo

Una analisi dei contenuti ci mostra la presenza di ben due indirizzi mail dove gli eventuali dati catturati dal phisher verranno inviati.

Interessante esaminare uno dei probabili sistemi utilizzati per compromettere il sito finale di phishing includendo le false pagine PosteIT

Ormai da tempo siamo abituati a vedere siti che utilizzando la piattaforma di commercio elettronico Zen-Cart (online store management system) sono compromessi attraverso vulnerabilita' presenti in versioni non aggiornate della stessa

Su questo sito parrebbe invece essere stata sfruttata una vulnerabilita', sempre relativa a store online ma sviluppato in shop-script

Una analisi della piattaforma di sviluppo utilizzata sul sito di store online ci mostra infatti

Si tratta di shop-script che per versioni non recenti soffre di vulnerabilita' di Remote Command Execution che potrebbe essere stata utilizzata per includere il phishing PosteIT.

Edgar

Nessun commento: