Si tratta di questa mail ricevuta oggi
leggermente diversa dalle molte ricevute ultimamente che vedevano, nel caso di attacchi a CartaSi, la costante presenza di form allegato in mail.
In questo caso si tratta di un layout piu' tradizionale con immagini facenti parte del messaggio e non linkate da siti esterni.
Una analisi degli headers mostra anche (non accade spesso) un probabile IP di origine come
Il link presente in mail punta a sito ampiamente compromesso che evidenzia ancora una volta come una volta sfruttata un qualche vulnerabilta' presente o comunque la possibilita' di upload offerta dal sito preso di mira lo stesso venga utilizzato piu' volte per il supporto a differenti phishing.
Possiamo infatti trovare, oltre al codice di redirect a clone Cartasi in data attuale
anche alcuni altri files
riferiti a form clone Lottomatica
e numerosi files di kit di phishing (formato zip e tgz) riferiti a CartaSi.
Il clone Lottomatica sfrutta un link a codice php su altro sito
mentre il codice riferito a CartaSi (linkato dalla mail di phishing CartaSi
redirige
a sito sviluppato in Word Press che a sua volta presenta shells, kit di phishing ecc...
nonche' il tipico clone CartaSi
Da quanto si vede esaminando i diversi codici php di invio credenziali sottratte dalle pagine clone si notato differenti indirizzi mail tra i KITs di phishing
e l'attuale codice php presente sul clone attivo sul sito compromesso
Edgar
leggermente diversa dalle molte ricevute ultimamente che vedevano, nel caso di attacchi a CartaSi, la costante presenza di form allegato in mail.In questo caso si tratta di un layout piu' tradizionale con immagini facenti parte del messaggio e non linkate da siti esterni.
Una analisi degli headers mostra anche (non accade spesso) un probabile IP di origine come
Il link presente in mail punta a sito ampiamente compromesso che evidenzia ancora una volta come una volta sfruttata un qualche vulnerabilta' presente o comunque la possibilita' di upload offerta dal sito preso di mira lo stesso venga utilizzato piu' volte per il supporto a differenti phishing.Possiamo infatti trovare, oltre al codice di redirect a clone Cartasi in data attuale
anche alcuni altri files
riferiti a form clone Lottomatica
e numerosi files di kit di phishing (formato zip e tgz) riferiti a CartaSi.
Il clone Lottomatica sfrutta un link a codice php su altro sito
mentre il codice riferito a CartaSi (linkato dalla mail di phishing CartaSi redirige
a sito sviluppato in Word Press che a sua volta presenta shells, kit di phishing ecc...
nonche' il tipico clone CartaSiDa quanto si vede esaminando i diversi codici php di invio credenziali sottratte dalle pagine clone si notato differenti indirizzi mail tra i KITs di phishing
e l'attuale codice php presente sul clone attivo sul sito compromesso
Edgar
Nessun commento:
Posta un commento