mercoledì 23 novembre 2011

Ancora phishing CartaSi (aggiornamento 23 novembre)

Ricevuta interessante mail di phishing CartaSi

che presenta caratteristiche simili ad altre gia' ricevute in passato e descritte qui e qui.

In particolare possiamo notare un layout del messaggio mail particolarmente curato con la presenza di immagini che dal nome ricordano comunque altri attacchi di phishing a differente banca IT.


Interessanti anche gli headers in mail che vedono coinvolti (caso particolare) solo IP italiani.

cosi' come accadeva nella recente e precedente simile mail di phishing CartaSi anche per uno degli IP proposti

In dettaglio abbiamo un link a redirect ospitato su sito USA

ampiamente compromesso e gia' attivo per phishing CartaSi, Lottomatica, CR Asti ecc.... AOL …...

Il sito usa in questione e' stato utilizzato sia come hosting di un clone CartaSi che, in data piu' recente, per un redirect a clone cartaSi su altro sito

Attualmente il sito presenta sia il codice di redirect linkato dalla mail che un altro (gia' utilizzato)

e che puntano entrambi al medesimo sito IT compromesso che ospita attualmente il clone CartaSiSempre sullo stesso sito di redir linkato in mail, come gia' descritto in precedenti post di phishing CartaSi troviamo codici ai danni sia di banche IT ancora perfettamente funzionanti, ma abbandonati da chi li aveva creati ed utilizzati



old lottomatica
e svariati files di kit di phishing


Inoltre appare online ed attivo un recente clone di login AOL

con relativi codici di invio al phisher di credenziali eventualmente sottratte

Un particolare di uno dei kit di phishing CartaSi mostra come la struttura del clone sia in effetti la medesima (notare i nomi dei folder usati es: mariasiion) che ritroveremo poi sul clone CartaSi attualmente online


C'e' comunque da ricordare che Il php di invio credenziali presente sul kit potrebbe comunque essere stato modificato sulla copia attualmente funzionante online.

Il redirect presente sfrutta un clone CartaSi attualmente su sito italiano compromesso

Si tratta di sito sviluppato in WordPress dalla tipica struttura di folders (wp-content).

Una ricerca sul sito IT mostra

Questo il clone uploadato

e

con struttura simile e nomi del percorso al phishing, uguali a quelli visti nel kit esaminato sul sito di redirect, ma il layout della pagina di login risulta sicuramente piu' aggiornato (date attuali per quanto proposto)

mentre il kit di phishing presenta layout datato.

Edgar

Nessun commento: