Come si nota dalla data presente si tratta di mail aggiornata e che, anche se nel messaggio si scrive di allegato, presenta link a sito compromesso (che utilizza Wordpress) con whois
Gli headers in mail parrebbero indicare provenienza brasiliana del messaggio
Il clone linkato e' costituito da form che verifica dettagliatamente i dati immessi
ed anche
chiaramente dal punto di vista formale della correttezza di quanto digitato.
In ogni caso risulta comunque un form ingannevole che tenta di riprodurre una reale connessione a servizio online.
Piu' interessante e' analizzare l'URL del phishing:
Cosi' facendo si scopre che in rete il medesimo percorso a '…........../2/index.htm.........' e' presente su analogo phishing Visa hostato su sito koreano compromesso
sviluppato in Zeroboard che, come gia' osservato molte volte ed a esempio qui, presenta una tipica struttura con, nel caso specifico di attacco a Zeroboard, la presenza di shell testuale in un determinato folder
Questo permette di evidenziare il kit di phishing con le seguenti caratteristiche.
Notare che la data del file PHP e' l'unica aggiornata dal phisher per settare l'indirizzo mail a cui inviare i dati sottratti.
A conferma della probabile medesima origine dei due phishing, se torniamo al phishing collegato alla mail ricevuta e proviamo a cercare un KIT di phishing con uguale nome, ne troviamo uno, identico al precedente e con la stessa mail di invio credenziali eventualmente sottratte.
Una volta acquisiti i dati il codice php provvede poi, a redirigere sul reale sito di Visa Italia.
Edgar
Nessun commento:
Posta un commento