venerdì 23 settembre 2011

Phishing Lottomatica. (23 settembre)

Continua insistente il phishing ai danni di Lottomatica.
Si tratta sempre di pagine clone gestite attraverso siti con la disponibilita' online di file manager e l'utilizzo di domini creati appositamente su hosting USA come gia' visto in passato.

Questo l'ennesimo Asset Manager Innova Studio che ha permesso l'upload del codice di redirect


su sito con whois UK

Detto sito pare avere oltre che all'Asset Manager raggiungibile da remoto senza particolari restrizioni , anche seri problemi di sicurezza a livello di amministrazione del sito stesso, dato che, ad esempio, sono visitabili da remoto il pannello di amministrazione dei contenuti del sito e l'editor delle pagine Web

Il redirect punta a sito con whois israeliano

con IP sempre nel range di altri utilizzati in passato per gli stessi scopi.

Questo un dettaglio del file manager dal layout piu' 'moderno' rispetto al consueto Innova, e che presenta i codici del clone Lottomatica su due diverse pagine

e

Da notare come gia' evidenziato in un precedente post, sia dal sottoscritto qui, che ieri da Denis Frati qui, che i codici linkati dai form che dovrebbero inviare ai phishers le credenziali sottratte,

sono ospitati su differente dominio creato sul solito servizio di hosting USA

Questo un dettaglio del contenuto con i due codici PHP collegati ai due forms di phishing

E' chiaro che un layout del genere e' stato scelto dai phishers principalmente per ovviare al fatto che sul sito israeliano con Asset Manager, dove sono stati caricati i codici del clone , non e' permesso l'upload di files di tipo PHP, come vediamo dallo screenshot

Utilizzando un sito esterno a quello di phishing, che consente l'uso di PHP i phishers hanno quindi risolto il problema e possono servirsi anche di Asset Manager che sono configurati per bloccare eventuali upload di codici 'pericolosi' (es shells php, asp...) o comunque usare siti dove nei folders di upload non esistono i permessi per l'esecuzione di php, asp ecc....

Inoltre visto che, almeno al momento, il dominio USA ospita solo due semplici codici php poco visibili, e' probabile che lo stesso rimanga online per un po di tempo e venga usato anche in successivi phishing Lottomatica.

Edgar

Nessun commento: