lunedì 21 novembre 2011

Phishing CartaSi (aggiornamento 21 novembre)

Nuovamente CartaSi nelle attenzioni dei phishers.

In particolare questa mail ricevuta oggi,

presenta una struttura molto simile ad una ricevuta qualche giorno fa, e sempre con allegato form incluso in file .ZIP.
In pratica questo phishing potrebbe essere il naturale proseguimento dell'azione ai danni di Cartasi evidenziata dalla mail del 18 novembre.

Una caratteristica che accomuna le due mails e' il layout del form allegato

praticamente identico al precedente se non fosse per il diverso codice php di gestione dei contenuti eventualmente sottratti dal phishing:

Inoltre il codice PHP e' ospitato su sito con whois tedesco che, in analogia di quanto rilevato sul precedente sito compromesso relativo al phishing CartaSi del 18 novembre, vede la presenza dell'applicativo CHAT ShoutBox

con

Detto applicativo potrebbe essere, una delle vie utilizzate dai phishers per compromettere il sito permettendo l'upload del codice php di phishing, come sembra poter essere avvenuto nel precedente caso analizzato anche da Densi Frati in questo post e nel quale evidenziava come nel folder relativo a ShoutBox avesse rilevato la presenza di shell comandi php: " ........... la presenza della chat ShoutBox, che so vulnerabile. La directory in cui la chat è installata è listabile e basta poco per individuare una shell remota ..........."

Edgar

Nessun commento: