martedì 1 novembre 2011

Chi si rivede …. Phishing Cariparma “old style” (1 novembre)

Sono passati parecchi giorni senza che, sia da mail ricevute che da segnalazioni in rete, ci fosse l'evidenza di nuove azioni da parte del gruppo di phishers definito anche come R-Team da Denis Frati.
L'attacco a Lottomatica era stato forse uno degli ultimi bersagli di R-Team, ma non in date recenti.
Questa mattina appare invece, in rete, una segnalazione di phishing che gia' dal nome della banca attaccata ricorda i bersagli del noto gruppo che si e' dedicato per mesi ad azioni di phishing ai danni in prevalenza di banche IT a diffusione regionale.

Vediamo alcuni dettagli dell'odierna segnalazione:

La struttura del phishing ricorda quelle gia' viste in passato e consiste in un primo redirect che utilizza Innova Studio Asset Manager come gestore dell'upload dei codici di redir


Il sito che ospita il file manager e' un sito vietnamita con whois

e con IP che una ricerca ne DB del blog porta ad individuare come gia' utilizzato in passato ad esempio per attacco di phishing ai danni di:


Gia' queste analogie, compreso il nome del file di redir, farebbero pensare a phishers legati al noto gruppo di cui sopra.

Proseguendo nell'analisi del sito vietnamita che ospita il redirect troviamo anche questa pagina di hacking che dimostra, come al solito, che probabilmente Innova Studio A.M. e' servito anche per uploadare contenuti non solo di phishing

Il redirect punta a sito con whois USA e nuovamente con la presenza di Innova Studio A.M.

che ha permesso anche in questo caso l'upload dei contenuti fraudolenti.

Anche in questo caso l'IP rilevato

appare gia' analizzato sul blog in passato per azioni di phishing

cosa che confermerebbe l'utilizzo di siti su servers individuati in passato dai phishers (R-Team) e dove l'uso di Innova Studio e' la norma.

Per essere sicuri che non si tratti di un vecchio phishing, diamo una occhiata alla struttura del folder che ospita i codici del clone Cariparma e troviamo date attuali per quelli relativi al phishing ai danni della banca

La cosa interessante e' che il codice php che si occupa di acquisire ed inviare via mail i dati di login eventualmente sottratti

mostra un indirizzo mail noto, associabile ad R-team.

In particolare detto indirizzo non e' quello che per ultimo era stato utilizzato probabilmente da R-team (vedi questo post di phishing Lottomatica del 13/10) ma il precedente, che era attivo da mesi.

Vedremo se questo phishing segna il ritorno dopo parecchio tempo ed in maniera piu' attiva del noto gruppo di phisher (che potrebbe riprendere ad attaccare banche IT a diffusione regionale), oppure si tratti solo un caso isolato e limitato a questo attacco a Cariparma - Credit Agricole.

Edgar

Nessun commento: