Si tratta, almeno per le mails ricevute ultimamente, di phishing che sfrutta ampiamente forms allegati in mail che utilizzano a loro volta codici PHP inclusi su siti compromessi per l'invio delle credenziali eventualmente sottratte..
Il vantaggio e' che non occorre ai phishers uploadare un buon numero di files relativi al clone proposto su sito compromesso o sito creato appositamente, ma basta solamente includere in un sito vulnerabile un semplice codice php di dimensioni molto ridotte, poco visibile da chi amministra il sito e che si occupera' di inviare alla mail del phisher i dati acquisiti dal form.
Questa la fake mail CartaSi con riferimenti alla data attuale
con allegato
che mostra il seguente link
a codice hostato su sito compromesso con whois
Il codice php non presenta data recente
ed appare contenere alcuni nomi di variabili in lingua romena, segno forse di una probabile iniziale origine est-europea.
Una volta acquisiti i dati eventualmente sottratti si viene rediretti al reale sito CartaSiAltro phishing CartaSI quello proposto da questa mail
che anche se non recentissima ( 8 settembre) evidenzia come lo stesso testo sia anche utilizzato per questa attuale mail fake Paypal
In entrambi i casi abbiamo un form allegato che sfrutta per acquisire i dati sottratti un codice PHP che per CartaSi
come per Paypal
vede il medesimo sito Ukraino compromesso quale host dei files php
Lo stesso sito Ukraino ospitava recentemente anche un codice PHP di redirects a Lottomatica.Edgar
Nessun commento:
Posta un commento