sabato 17 settembre 2011

Diversi casi di phishing IT, e non solo, presenti su sito koreano compromesso (17 settembre)

Si tratta di numerose azioni di phishing ai danni sia di banche IT che aziende straniere tutte ospitate sul medesimo sito compromesso e con whois


In realta' non si tratta di una novita' riguardo al nome del sito in quanto gia' nel marzo 2011 una mail di phishing Visa – Master Card faceva riferimento allo stesso, come vediamo dal DB dei casi trattati nel blog


In quel caso si trattava di un codice php linkato da form allegato in mail.

Attualmente questa la pagina clone UniCredit presente, che, come gia' evidenziato a marzo, indica che il sito koreano utilizza la nota piattaforma Zeroboard.


 Per chi si chiedesse come mai ci si rivolge in special modo a siti koreani per sfruttare vulnerabilita' ZeroBoard, in rete troviamo facilmente la spiegazione

"…....... ZeroBoard (or Currently named Xpress Engine) is one of the most successful open source contents management system developed by Zero (name of developer), Korea. Many business entities, non-profit organizations rooted Korea are using it as their website solution. …...."

In pratica ZeroBoard e' sviluppata in Korea e sono molti i siti koreani che la utilizzano e che diventano possibili bersagli dei phishers.

Di solito alla vulnerabilta' Zeroboard e' collegata la presenza di shells dal nome noto che consentono di 'esplorare' i vari folders utilizzati dai phishers.

Nel caso odierno cio' permette di rilevare diversi attacchi a banche IT nonche' straniere e kit di phishing.

Ecco alcuni dettagli di cosa si trova sul sito compromesso:

Phishing UniCredit
Il clone rivela una struttura di folder dove si nota il kit in formato .tgz e relativo subfolder dei dati estratti.
Analizzando le date dei files, in particolare dei codici php ON-line del clone Unicredit, osserviamo come le stesse siano piu' recenti rispetto alle date degli stessi files PHP presenti nel KIT.


Cronologicamente vediamo come alla data e time del KIT sul sito (unicredit.tgz 9.28 KB - 16.09.2011 17:08:44) segua quella dei due files(inside.php 960 B - 16.09.2011 17:09:04 ) e ( minibox.php 730 B 16.09.2011 17:09:16)

Questo fa pensare che il loro contenuto sia stato modificato dal phisher subito dopo aver estratto i 2 files dal KIT tgz.

La conferma la abbiamo confrontando i codici php inclusi nel KIT tgz e gli stessi  files PHP online   sul sito di phishing


Possiamo notare che i codici PHP attivi online hanno diverso indirizzo mail di invio credenziali   rispetto agli originali inclusi nel KIT

Una delle spiegazioni e' che il KIT presenti un riferimento ad indirizzo mail relativo ad altro attacco o comunque di 'default', e che va quindi modificato a seconda dell'azione di phishing.

 Phishing PAYPAL in lingua italiana
Questo uno screenshot del clone


mentre anche in questo caso le date dei codici php appaiono variate rispetto a quelle degli altri files presenti


e l'indirizzo mail di invio dati sottratti e' identico a quello visto per phishing Unicredit


Oltre ad indirizzo mail notiamo che una volta inviati i dati viene richiamata una pagina di fake attesa ' processing” per simulare la connessione e il trasferimento in atto.

Phishing CartaSi


E' presente un kit in formato zip con data ad agosto 2011 per i codici php di invio credenziali


Non e rilevabile un folder dove sia stato estratto il contenuto , ma la data recente di upload fa pensare che possa essere utilizzato in seguito

Phishing Vancity
Si tratta di

…... Vancouver City Savings Credit Union, commonly referred to as Vancity, is a member-owned financial institution in Vancouver, British Columbia and the largest English-speaking credit union in Canada. Founded in 1946, and the second oldest Credit Union in British Columbia (the oldest being Greater Vancouver Community Credit Union), Vancity provides a variety of financial services including banking, borrowing, investments, and insurance....... (da Wikipedia)

cioe' di gruppo finanziario di Credito Cooperativo canadese.

Questa la pagina di phishing

mentre l'invio credenziali e' sempre al medesimo personaggio visto per i casi italiani, e con date meno recenti.


Phishing Alibaba
Da Wikipedia
“...............is a privately owned Hangzhou-based family of Internet-based businesses that includes online marketplaces that facilitate business-to-business international and domestic …....”

Questa la pagina clone del servizio di e-commerce, shopping online.. pagamenti ...ecc...


Il codice php invia a differente indirizzo e-mail rispetto ai precedenti casi

Edgar

Nessun commento: