Ricevuta mail di phishing BCC – Credito Cooperativo, che propone un form allegato veramente dettagliato nella richiesta dei contenuti.
Questa la mail
mentre ecco un dettaglio del form allegato
dove notiamo una grande quantita' di campi di input, cosa non molto comune in normali form allegati in mail di phishing, e che aumenta sicuramente la pericolosita' di una eventuale azione di phishing andata a 'buon fine'
La conferma che detti dati siano tutti 'inviati' al phisher l'abbiamo analizzando il codice php che si occupa di gestire l'acquisizione delle credenziali inviate dal form allegato in mail
Il sito che ospita il codice php visto sopra, ha whois
e risulta gia' coinvolto in azioni di supporto al phishing descritte da Denis Frati in questo recente post.
In prticolare notiamo la presenza di un editor denominato TinyMCE (platform-independent web-based JavaScript/HTML) e del relativo plugin Ajax File Manager che potrebbe aver permesso l'upload da remoto dei contenuti di phishing e di una shell (file con doppia estensione) utile alla gestione del clone.
Questo un dettaglio del folder presente sul sito, contenente i files relativi al plugin Ajax File Manager per l’editor Tiny MCE.
Appare probabile che anche questa azione di phishing sia legata al medesimo gruppo visto nei giorni scorsi che si propone in alternativa al noto gruppo R-team ormai molto noto a chi legge i post di questo blog.
Edgar
Questa la mail
mentre ecco un dettaglio del form allegato
dove notiamo una grande quantita' di campi di input, cosa non molto comune in normali form allegati in mail di phishing, e che aumenta sicuramente la pericolosita' di una eventuale azione di phishing andata a 'buon fine'La conferma che detti dati siano tutti 'inviati' al phisher l'abbiamo analizzando il codice php che si occupa di gestire l'acquisizione delle credenziali inviate dal form allegato in mail
Il sito che ospita il codice php visto sopra, ha whois
e risulta gia' coinvolto in azioni di supporto al phishing descritte da Denis Frati in questo recente post.In prticolare notiamo la presenza di un editor denominato TinyMCE (platform-independent web-based JavaScript/HTML) e del relativo plugin Ajax File Manager che potrebbe aver permesso l'upload da remoto dei contenuti di phishing e di una shell (file con doppia estensione) utile alla gestione del clone.
Questo un dettaglio del folder presente sul sito, contenente i files relativi al plugin Ajax File Manager per l’editor Tiny MCE.
Appare probabile che anche questa azione di phishing sia legata al medesimo gruppo visto nei giorni scorsi che si propone in alternativa al noto gruppo R-team ormai molto noto a chi legge i post di questo blog.
Edgar
Nessun commento:
Posta un commento