![](http://2.bp.blogspot.com/_-6waw8mcpyI/TIWich68z2I/AAAAAAAAcuo/AIq1wrBs4Sw/s320/mail.jpg)
Interessante il fatto che come una precedente mail BCC uno degli IP presenti in header sia di provenienza IT e gia' visto in precedenti mails di phishing sempre BCC e sempre con allegato mht.
![](http://3.bp.blogspot.com/_-6waw8mcpyI/TIWicYZOa4I/AAAAAAAAcug/wkHFSmZxOv4/s320/ip+it+header.jpg)
Questo il relativo whois dell'IP in questione
![](http://3.bp.blogspot.com/_-6waw8mcpyI/TIWiz-ro9JI/AAAAAAAAcu4/HpMc84Y9IZ8/s320/wh+obfu.jpg)
che punta a
![](http://4.bp.blogspot.com/_-6waw8mcpyI/TIWic0jRc2I/AAAAAAAAcuw/l78F_rWxS_I/s320/under+costr.jpg)
Il codice php presente nel form sfrutta uno dei tanti siti koreani compromessi e redirige poi su reale sito BCC
![](http://3.bp.blogspot.com/_-6waw8mcpyI/TIWicG3rwjI/AAAAAAAAcuY/LjROcXQ_ZDM/s320/form+action.jpg)
Edgar
Nessun commento:
Posta un commento