venerdì 9 settembre 2011

Ancora phishing Cariparma (9 settembre)

Il phishing analizzato ieri (8 settembre) non e' piu' attivo ma in compenso e' ora on-line una nuova azione di phishing ai danni di Cariparma.
Da notare come questa volta non venga utilizzato un sito con il 'solito' Asset Manager Innova Studio per ospitare il codice di redirect, ma un server USA dove troviamo attivo un

e relativo

Da notare come il medesimo IP fosse presente in Marzo 2011 in una segnalazione Phishtank sempre di phishing Cariparma

cosa che fa pensare ad un 'riutilizzo' del medesimo sito compromesso, fatto abbastanza comune in questi casi.

Anche se il sito del mese di marzo non e' piu' attivo e' interessante notare come cliccando sulla opzione di visualizzazione Phishtank 'in frame' del sito clone, venga visualizzato un programma di mailer che ha attualmente 'preso il posto' del precedente clone sul medesimo indirizzo

La cosa si spiega con il fatto che Phishtank visualizza di default uno screenshot della pagina di phishing ma con l'opzione 'In frame' accede direttamente al link che attualmente non punta piu' al phishing ma al codice di un programma mailer.

Il link di redirect punta invece ad Asset Manager che ha permesso di uploadare il codice html del fake login Cariparma

e presente su IP israeliano

Come evidenzia Denis Frati su un attuale post l'asset manager parrebbe essere in realta' presente in quanto DEMO su sito di azienda che sviluppa cms

”.....Il redirect porta ad un sito israeliano di chi sviluppa un cms. Perche', ecco qui cio' che me le ha fatte cadere, i cattivi hanno infilato la pagina clone sul server usando la demo del cms!!! ….....”

e guarda caso sul medesimo range IP troviamo altri siti con Asset Manager e gia' usati per ospitare cloni di phishing.(vedi il post pubblicato ieri)

Anche nel caso odierno il codice php che si occupa di inviare ai phishers via mai le credenziali eventualmente sottratte risiede sul medesimo sito con dominio UK e whois USA visto ieri.

Una attuale analisi del file PHP mostra che si tratta sempre dello stesso codice usato da qualche giorno anche per precedenti phishing Cariparma

Edgar

Nessun commento: