venerdì 5 agosto 2011

Aggiornamento phishing ai danni di banche IT a diffusione regionale. Nuovamente Banca Valsabbina (5 agosto)

Ritorna ad essere colpita da azione di phishing Banca Valsabbina attraverso questa mail


dai consueti contenuti ed headers (il probabile IP al source della mail e' sempre il 'solito' francese)

Da notare come questa volta il file manager utilizzato presenti un layout leggermente differente da quello abituale di Innova Studio proponendosi come 'Development Asset Manager ' ma in ogni caso con identiche funzionalita' rispetto al consueto layout di Innova Studio A.M.

Il link alla home dell'Asset Manager in questione richiama in effetti questa pagina di login ai tools online del sito canadese (anche se whois USA) che ospita il redirect al clone Banca Valsabbina

e che dimostra ancora una volta come probabili errate o superficiali configurazioni dei tools online rendano parzialmente o del tutto inefficace la pagina di login, almeno per quanto si riferisce ad un utilizzo da remoto del file manager.

Attraverso il file manager i phishers parrebbero aver uploadato sul sito canadese un codice di redirect che punta, cosa abbastanza comune in questi casi, a Easy Content file Manager su altro sito con whois USA

e che, ha permesso da remoto l'upload del clone Valsabbina, in folder creato allo scopo di ospitare il sito copia della banca, dalla cui struttura parrebbe essere usato un kit di phishing non odierno ma aggiornato a giugno 2011 mente chiaramente il folder creato mostra data attuale

Di solito sono proprio i files ,php quelli modificati maggiormente in quanto vengono aggiornati dal phisher gli indirizzi email a cui inviare i dati eventualmente sottratti dal login sul sito clone

Che si tratti comunque di attacco odierno lo vediamo anche dalla presenza del KIT di phishing con data attuale, rilevabile analizzando la struttura del sito

KIT che dimostra come le credenziali di invio siano sempre quelle note ormai da tempo in questi phishing ai danni di Banche IT a diffusione locale o regionale .

Inoltre nel folder di upload possiamo vedere un numero veramente elevato di varie utilities di hacking tra cui diverse shells grafiche

con date risalenti a luglio 2011 e quindi probabilmente uploadate precedentemente all'azione di phishing

Edgar

Nessun commento: