lunedì 19 settembre 2011

Phishing CartaSi (18 - 19 settembre)

Ancora phishing CartaSi, attualmente attivo, che vede coinvolti questa volta sia per il redirect che per il clone due siti USA che appaiono utilizzare DreamHost come servizio di hosting.

In realta' mentre il sito di redirect presenta nella home il riferimento a DreamHost

il sito che ospita il clone rivela la pagina DreamHost 'Cooming Soon' solo sulla cache di Google.

Il codice di redirect parrebbe essere modificato costantemente visto anche l'elevato numero di folders presenti che ospitano tutti dei cloni CartaSi e relativo KIT.

Questo il source di redirect (da notare anche un riferimento a PosteIt nel codice )


con link a clone che che e' passato in seguito a

facendo riferimento ad un nuovo folder creato dal phisher

folder assente precedentemente


Si tratta sempre del medesimo sistema visto da tempo in azioni di phishing con la creazione di nuovi percorsi al sito clone per evitare eventuale black-listing degli indirizzi.

Con ulteriore analisi si puo' evidenziare che i domini interessati al phishing siano comunque gia' stati coinvolti in azioni es. ai danni di Paypal a partire da fine agosto 2011 (segnalazione Phishtank)


cosa confermata dalla presenza, anche se in folders non piu' attivi e bloccati dall'hoster di alcuni KIT Paypal e relativi contenuti


Edgar

Nessun commento: