martedì 14 giugno 2011

Aggiornamento phishing ai danni di banche IT a diffusione regionale (14 giugno)

Il sito IT che sino ad ieri ospitava il redirect gestito attraverso Innova Studio Asset Manager (accessibile da remoto senza restrizioni) appare attualmente (ore 8.30 AM thai time del 14/6 - 3.30 Am IT time) bonificato dai vari files di hacking , shells ed anche naturalmente dai due codici di redirect ai cloni di banche IT

Il dominio utilizzato per C.R. Volterra appare invece tuttora attivo ed una analisi dei logs mostra che, nella giornata di ieri

era gia' stato predisposto un clone di phishing C.R.Asti

E' di poco fa la ricezione di questa mail (identica nel layout a quella ricevuta ieri per Valsabbina)

che conferma quanto rilevato sul log, e che utilizza come host dei redirect un 'vecchio' sito vietnamita

gia' molto utilizzato in passato e naturalmente attraverso la presenza sullo stesso di Innova Studio A.M.


Questo un estratto del DB dei posts pubblicati sul blog che mostra come il sito .VN venisse utilizzato gia' dal novembre 2010

per una azione di phishing ai danni di Banca Valsabbina, e quasi sicuramente gestito dal medesimo gruppo di phishers.

L'altro redirect incluso sul sito .VN

punta proprio al clone Banca Valsabbina gia' visto ieri.

Una analisi degli headers in mail dimostra che ancora una volta abbiamo un IP francese come probabile origine dei messaggi.

D'altronde l'IP in questione appare ampiamente documentato in siti che si occupano di segnalare attivita' di Spam come ad esempio il noto Spamhaus che riporta al riguardo

e che elenca una lunga serie di riferimenti a messaggi email dove ne notiamo numerosi visti nei mesi scorsi ai danni delle 'solite' banche IT a diffusione regionale.

e
ma anche

Edgar

Nessun commento: