Continua intenso il phishing Cariparma attraverso files manager utilizzabili da remoto e che consentono l''upload sia dei contenuti di redirect che dei codici delle pagine clone.
Attualmente e' attivo un redirect tramite file manager
ospitato su sito israeliano il cui IP
appartiene a range gia' visto in passato (marzo 2011) relativamente ad azioni di phishing proprio ai danni di Cariparma e Banco Azzoaglio.
Come risulta dal database dei post pubblicati sul blog
anche la scorsa volta veniva utilizzato un sito israeliano con la disponibilita' di file manager e con struttura dei folders (.../WYSIWYGeditor/assetmanager/....) simile al sito odierno.
E evidente come su medesimo server possano trovarsi, a volte, decine di siti che sfruttano i medesimi tools di gestione dei contenuti e che presentano quindi per i phishers una fonte di files managers da utilizzare nei loro attacchi.
Il codice di redirect presente punta a sito con whois USA che ospita ancora una volta Innova Studio Asset Manager
attraverso il quale viene gestito il clone di phishing
Come vediamo da due successivi screenshot presi a breve intervallo di tempo, il nome del file del codice della pagina clone Cariparma viene costantemente 'aggiornato' dai phishers passando ad esempio da euroi.html a
a euroip.html
e questo per evitare eventuali blacklist degli indirizzi di phishing.
Da notare come il sito che ospita il clone sia ampiamente compromesso considerato che l'interfaccia Innova Studio ha permesso, probabilmente non solo ai phishers attuali, di uploadare numerosi codici php tra cui alcune note shells.
Edgar
Attualmente e' attivo un redirect tramite file manager
ospitato su sito israeliano il cui IP
appartiene a range gia' visto in passato (marzo 2011) relativamente ad azioni di phishing proprio ai danni di Cariparma e Banco Azzoaglio.Come risulta dal database dei post pubblicati sul blog
anche la scorsa volta veniva utilizzato un sito israeliano con la disponibilita' di file manager e con struttura dei folders (.../WYSIWYGeditor/assetmanager/....) simile al sito odierno.E evidente come su medesimo server possano trovarsi, a volte, decine di siti che sfruttano i medesimi tools di gestione dei contenuti e che presentano quindi per i phishers una fonte di files managers da utilizzare nei loro attacchi.
Il codice di redirect presente punta a sito con whois USA che ospita ancora una volta Innova Studio Asset Manager
attraverso il quale viene gestito il clone di phishing
Come vediamo da due successivi screenshot presi a breve intervallo di tempo, il nome del file del codice della pagina clone Cariparma viene costantemente 'aggiornato' dai phishers passando ad esempio da euroi.html a 
a euroip.html
e questo per evitare eventuali blacklist degli indirizzi di phishing.Da notare come il sito che ospita il clone sia ampiamente compromesso considerato che l'interfaccia Innova Studio ha permesso, probabilmente non solo ai phishers attuali, di uploadare numerosi codici php tra cui alcune note shells.
Edgar
Nessun commento:
Posta un commento