Gia' analizzato in questo recente post, continua il phishing ai danni di Visa - Master Card
Ecco la mail
che propone un allegato che vediamo in dettaglio
Il codice presente nel form
punta a sito koreano
la cui URL indica chiaramente la presenza di piattaforma Zero-Board, molto utilizzata da siti koreani, e che, anche questa volta e come visto in passato, potrebbe essere stata utilizzata per uploadare sul sito sia shell di amministrazione remota che contenuti a supporto del phishing.
Una breve ricerca permette infatti di individuare sia la shell che il codice php utilizzato dal form allegato in mail
che anche questa volta
presenta il medesimo indirizzo mail di invio credenziali eventualmente acquisite dal phisher, indirizzo mail che abbiamo visto gia' in questo recente post che analizzava un phishing BCC – Credito Cooperativo
Anche il phishing BCC si distingueva per essere proposto attraverso form allegato in mail mentre in quel caso l'utilizzo di un editor denominato TinyMCE (platform-independent web-based JavaScript/HTML) e del relativo plugin Ajax File Manager potrebbero aver permesso l'upload da remoto dei contenuti di phishing.
Appare quindi evidente che, pur con differente obiettivo, ma comunque con lo stesso destinatario dei dati sottratti a chi fosse caduto nel phishing, potrebbe trattarsi del medesimo gruppo di phishers visto nei giorni scorsi.
Da notare, anche, come queste azioni di phishing piu' complesse nell'uso della gestione dei siti clone, si distinguano rispetto a quelle del gruppo denominato da Denis Frati R-team, che utilizza di solito un semplice redirect attraverso files managers presenti in rete (Innova Studio, Easy Content ecc...) ed accessibili da remoto.
Edgar
Ecco la mail
che propone un allegato che vediamo in dettaglio
Il codice presente nel form
punta a sito koreano
la cui URL indica chiaramente la presenza di piattaforma Zero-Board, molto utilizzata da siti koreani, e che, anche questa volta e come visto in passato, potrebbe essere stata utilizzata per uploadare sul sito sia shell di amministrazione remota che contenuti a supporto del phishing.Una breve ricerca permette infatti di individuare sia la shell che il codice php utilizzato dal form allegato in mail
che anche questa volta
presenta il medesimo indirizzo mail di invio credenziali eventualmente acquisite dal phisher, indirizzo mail che abbiamo visto gia' in questo recente post che analizzava un phishing BCC – Credito CooperativoAnche il phishing BCC si distingueva per essere proposto attraverso form allegato in mail mentre in quel caso l'utilizzo di un editor denominato TinyMCE (platform-independent web-based JavaScript/HTML) e del relativo plugin Ajax File Manager potrebbero aver permesso l'upload da remoto dei contenuti di phishing.
Appare quindi evidente che, pur con differente obiettivo, ma comunque con lo stesso destinatario dei dati sottratti a chi fosse caduto nel phishing, potrebbe trattarsi del medesimo gruppo di phishers visto nei giorni scorsi.
Da notare, anche, come queste azioni di phishing piu' complesse nell'uso della gestione dei siti clone, si distinguano rispetto a quelle del gruppo denominato da Denis Frati R-team, che utilizza di solito un semplice redirect attraverso files managers presenti in rete (Innova Studio, Easy Content ecc...) ed accessibili da remoto.
Edgar
Nessun commento:
Posta un commento