Ritorna il
phishing ai danni di Banca Mediolanum che ricorda una procedura gia' utilizzata in passato ad esempio, cito solo uno dei tanti casi, per l'attacco
a Banca Cividale.Come allora, infatti, si tratta di uh sito compromesso quasi sicuramente
attraverso l'utilizzo delle possibilita' offerte dall'interfaccia di OsCommerce, accessibile senza restrizioni da remoto
Il sito di phishing

e' in realta'
composto da una sola pagina di login
che tramite
codice php invia al phisher le credenziali di accesso eventualmente catturate.
Notare
l'indirizzo e-mail
uguale,ad esempio, a quello
del caso Banca Cividale,
e sempre su dominio IT
Questa
la struttura del sito compromesso dove vediamo
data recente per folder 'med' che ospita appunto il phishing.
Come si vede
molte analogie con casi precedenti tra cui in particolare, stesso indirizzo email di invio credenziali sottratte, hosting anche questa volta su sito che utilizza piattaforma OsCommerce,presenzaz di medesima shell comandi utilizzata probabilmente per gestire il sito clone.
Da notare la presenza sul sito anche di
software di statistiche (webalizer), di cui vediamo un particolare della
una tabella Ip degli ultimi accessi, sulla quale e' stato eseguito un whois multiplo, per meglio identificare la nazionalita' di provenienza delle visite.

Edgar
Nessun commento:
Posta un commento