Anche se sicuramente meno diffuso che altri phishing a banche e Poste Italiane quello ai danni di Lottomatica e' da molto tempo attivo in rete. (vedi mio post del luglio 2009 e successivi)
Ecco un nuovo ed attuale phishing Lottomaticard che si distingue per alcuni interessanti particolari:
Il sito compromesso che lo ospita, anche se riferito ad associazione canadese, risulta hostato su
![](http://3.bp.blogspot.com/_-6waw8mcpyI/TIB4JyFVwII/AAAAAAAAcqo/956RpO1wKvE/s320/wh+obf.jpg)
![](http://2.bp.blogspot.com/_-6waw8mcpyI/TIB4I-TAb_I/AAAAAAAAcqY/mJjN9tWfJ5M/s320/redir.jpg)
![](http://4.bp.blogspot.com/_-6waw8mcpyI/TIB37rCPgoI/AAAAAAAAcqI/ZlXDtEQUf1s/s320/phl1.jpg)
![](http://1.bp.blogspot.com/_-6waw8mcpyI/TIB38LmuBZI/AAAAAAAAcqQ/LdirmU9JkYg/s320/phl2.jpg)
![](http://2.bp.blogspot.com/_-6waw8mcpyI/TIB367_EdfI/AAAAAAAAcp4/pXo2iZ_ciLs/s320/login+ingannevole.jpg)
Il malcapitato utente potrebbe quindi pensare di aver commesso qualche errore nell'input dei dati o, al limite, ad un problema di rete o uno specifico problema sul sito Lottomatica, e quindi cliccando sulla opzione “indietro e riprovare” ritrovarsi in una pagina di login ma questa volta autentica.
Cio' renderebbe l'utente Lottomaticard rassicurato, visto che ora si trova sul sito ufficiale e probabilmente non terrebbe in considerazione il pericolo derivato dai vari login eseguiti in precedenza, sul sito clone.
Vediamo ora alcuni dettagli piu' tecnici:
La possibilita' di esplorare da browser i contenuti del folder utilizzato da phisher mostra diversi contenuti interessanti:
![](http://2.bp.blogspot.com/_-6waw8mcpyI/TIB4JI5bqcI/AAAAAAAAcqg/M_NdtM-BX-I/s320/structura+shell+e+kit+e+sito+ph.jpg)
![](http://4.bp.blogspot.com/_-6waw8mcpyI/TIB37XjcyaI/AAAAAAAAcqA/pWR5h1jjDEQ/s320/login+mail+send.jpg)
Interessante pure il nome assegnato ad alcune variabili facenti parte del form di login: ad esempio questa una variabile che Google translator identifica essere in lingua romena.
![](http://3.bp.blogspot.com/_-6waw8mcpyI/TIB4KLFsu2I/AAAAAAAAcqw/CjtziEqZyhs/s320/translate.jpg)
Sempre nel folder esaminato, abbiamo naturalmente l'ulteriore folder con i contenuti di phishing che rispetta la path vista nel kit ed inoltre due codici di shell
![](http://1.bp.blogspot.com/_-6waw8mcpyI/TIB36htguzI/AAAAAAAAcpw/WFpiyl_Qk9I/s320/backdor.jpg)
Si tratta di shell usate probabilmente a supporto del phishing e che, in ogni caso, evidenziano lo stato di elevata compromissione del sito.
Edgar
Nessun commento:
Posta un commento