Questa la mail
con un allegato che gia' dalle dimensioni ridotte fa pensare che non si tratti del solito form, e che infatti se analizzato mostra codice offuscato che de-offuschiamo facilmente ottenendo.
Una curiosita' riguarda l'header della mail
che presenta, cosa poco comune in phishing a danni di banche IT, proprio un IP italiano
Il redirect presente nell'allegato offuscato, punta a sito con whois
che utilizza ECShop (web 2.0 Open Source Ecommerce Platform)
Il fatto che esista in rete parecchia documentazione su vulnerabilita' , tra cui un 'remote file upload', per versioni di questa piattaforma di commercio elettronico fa pensare che proprio una di queste vulnerabilita' potrebbe essere stata utilizzata per l'upload dei contenuti di phishing.
Questo il clone presente con layout comunque datato
Una analisi piu' approfondita del sito rivela tre l'altro che gia' da qualche mese lo stesso e' stato oggetto di attacchi volti a 'scaricare' sullo stesso cloni di CartaSi
ma anche uno di Paypal.
Come si nota sono stati utilizzati, a partire da giugno 2011,
differenti percorsi al phishing CartaSi, come succede spesso in questi casi, per evitare eventuali blacklist.
Edgar
Nessun commento:
Posta un commento