sabato 26 novembre 2011

Ancora phishing CartaSi (26 novembre)

Ricevuta mail di phishing CartaSi che utilizza come hosting del clone lo stesso dominio gia' analizzato in questo post. (cambia solo il percorso al codice di phishing)

Interessanti anche gli stessi headers in mail del caso del 23 novembre che vedono coinvolti (caso particolare) solo IP italiani.

Il layout ricorda quello gia' visto in precedenza, mentre il link in mail che punta al sito di redirect propone un nuovo sito compromesso con whois USA anche se dominio .IN (Internet country code top-level domain (ccTLD) for India.)

Una analisi delle statistiche degli accessi al sito in questione mostra un picco di traffico gia' nel mese di settembre 2011 che farebbe pensare anche ad un possibile precedente hosting di phishing o di redirect a phishing.

In effetti una analisi approfondita dei contenuti rivela sia l'attuale (ed uno leggermente piu' datato) codice di redirect

ma anche files legati a clone CartaSi

al messaggio mail di phishing

e con timestamp dei files proprio al mese di settembre 2011

Sono inoltre ospitati sul sito anche codici di shells e di mailer

ed altri interessanti files legati al phishing attuale e passato.

Al momento il sito IT che gia' il 23 novembre hostava il clone CartaSi

continua ad ospitare una copia attiva del phishing anche se con percorso modificato rispetto ai giorni scorsi (screenshot relativo al phishing del 23 novembre)

Edgar

Nessun commento: