Dopo alcuni giorni di attivita' nulla o comunque scarsamente rilevabile parrebbe essere ripreso il phishing ai danni di Lottomatica.
La novita' piu' rilevante e' un diverso indirizzo mail a cui il codice php di phishing parrebbe inviare le credenziali eventualmente sottratte a chi cadesse nel tranello della falsa pagina di login.
Altra caratteristica e' l'hosting del codice php di invio credenziali su diverso dominio rispetto a quello che ospita il codice htm della falsa pagina di login Lottomatica.
Ecco alcuni dettagli:
Questa la struttura del sito con whois Usa che ospita il redirect
dove possiamo vedere sia il codice 'postio.htm' di redir
che un codice run.php
con data 7 ottobre che parrebbe essere stato utilizzato per acquisire nei giorni scorsi credenziali dal fake login Lottomatica.
Questo file rivela una diversa mail di invio credenziali rispetto alla solita utilizzata in questi attacchi di phishing da parte del noto gruppo di phishers.
Appare inoltre essere presente anche un KIT di phishing 'casa.zip' ai danni di CR Bolzano cosi come alcuni files sempre legati a phishing CR Bolzano ma con date non attuali.
La gestione degli upload dei files presenti e' ancora una volta legata alla presenza di Innova Studio Asset Manager
Seguendo il redirect 'postio.htm' veniamo linkati ad altro sito, sempre con whois USA, e sempre con la presenza di Innova Studio A.M.
che ci mostra sia il codice clone della pagina di login fake a Lottomatica
ma anche un codice PHP di invio credenziali collegate a clone Cariparma
Ancora una volta si nota che il codice del form Lottomatica, utilizza un PHP che non e' ospitato sullo stesso sito della pagina clone, ma fa riferimento ad altro sito
sempre con Innova Studio A.M. Presente.
Una analisi del source PHP mostra differente mail di invio credenziali (come gia' visto in precedenza sul sito di redirect) rispetto alla consueta vista sino ad ora:
Mentre le modalita' 'operative' dei phishers viste ora, con ampio utilizzo di Innova Studio, fanno pensare sempre agli stessi noti da tempo, il fatto che l'indirizzo mail non sia il 'solito' potrebbe essere solamente un 'aggiornamento' di un indirizzo mail che era attivo ed utilizzato ormai da mesi.
Edgar
La novita' piu' rilevante e' un diverso indirizzo mail a cui il codice php di phishing parrebbe inviare le credenziali eventualmente sottratte a chi cadesse nel tranello della falsa pagina di login.
Altra caratteristica e' l'hosting del codice php di invio credenziali su diverso dominio rispetto a quello che ospita il codice htm della falsa pagina di login Lottomatica.
Ecco alcuni dettagli:
Questa la struttura del sito con whois Usa che ospita il redirect
dove possiamo vedere sia il codice 'postio.htm' di redir
che un codice run.php
con data 7 ottobre che parrebbe essere stato utilizzato per acquisire nei giorni scorsi credenziali dal fake login Lottomatica.
Questo file rivela una diversa mail di invio credenziali rispetto alla solita utilizzata in questi attacchi di phishing da parte del noto gruppo di phishers.
Appare inoltre essere presente anche un KIT di phishing 'casa.zip' ai danni di CR Bolzano cosi come alcuni files sempre legati a phishing CR Bolzano ma con date non attuali.
La gestione degli upload dei files presenti e' ancora una volta legata alla presenza di Innova Studio Asset Manager
Seguendo il redirect 'postio.htm' veniamo linkati ad altro sito, sempre con whois USA, e sempre con la presenza di Innova Studio A.M.
che ci mostra sia il codice clone della pagina di login fake a Lottomatica
ma anche un codice PHP di invio credenziali collegate a clone Cariparma
Ancora una volta si nota che il codice del form Lottomatica, utilizza un PHP che non e' ospitato sullo stesso sito della pagina clone, ma fa riferimento ad altro sito
sempre con Innova Studio A.M. Presente.
Una analisi del source PHP mostra differente mail di invio credenziali (come gia' visto in precedenza sul sito di redirect) rispetto alla consueta vista sino ad ora:
Mentre le modalita' 'operative' dei phishers viste ora, con ampio utilizzo di Innova Studio, fanno pensare sempre agli stessi noti da tempo, il fatto che l'indirizzo mail non sia il 'solito' potrebbe essere solamente un 'aggiornamento' di un indirizzo mail che era attivo ed utilizzato ormai da mesi.
Edgar
Nessun commento:
Posta un commento