Possiamo notare in questo dettaglio dell'interfaccia Innovastudio sfruttata per includere i files di redirect al phishing, che da oggi si e' aggiunto un nuovo file html che redirige su differente phishing CARIFE, e che va quindi a sostituire i precedenti files di redir.
Normalmente prima di includere un nuovo file di redir, come successo appunto oggi, il phisher si limita a modificare i contenuti del file gia' presente che effettua il redirect, cambiando solo il link del sito a cui puntare. Notate le due date differenti per il medesimo file html nei giorni scorsi.
modificato il
A fronte di un nuovo invio di mails e' presumibile che si preferisca invece utilizzare un nuovo link nel messaggio di phishing e quindi uploadare (in questo caso sul sito canadese) questo nuovo file --> cmkl.html dai contenuti simili ai precedenti tranne che per il sito clone CARIFE a cui puntare
Interessante e' associare le date di creazione del sito di phishing con quelle del log presente, cosa che ci restituisce un IP di provenienza di chi probabilmente ha creato e gestisce il sito stesso. (sempre tenendo conto dei limiti di questa analisi dovuti ad un eventuale uso di proxy per mascherare il reale IP)
Confrontando infatti la data di creazione dei files del nuovo sito con i logs presenti sempre sullo stesso possiamo vedere che anche questa volta sia il time che proprio la posizione sul log (al primo record) confermerebbero un IP con una provenienza simile ai precedenti casi di phishing CARIFEEdgar
Nessun commento:
Posta un commento