Si tratta di questa mail ricevuta oggi
leggermente diversa dalle molte ricevute ultimamente che vedevano, nel caso di attacchi a CartaSi, la costante presenza di form allegato in mail.
In questo caso si tratta di un layout piu' tradizionale con immagini facenti parte del messaggio e non linkate da siti esterni.
Una analisi degli headers mostra anche (non accade spesso) un probabile IP di origine come
Il link presente in mail punta a sito ampiamente compromesso che evidenzia ancora una volta come una volta sfruttata un qualche vulnerabilta' presente o comunque la possibilita' di upload offerta dal sito preso di mira lo stesso venga utilizzato piu' volte per il supporto a differenti phishing.
Possiamo infatti trovare, oltre al codice di redirect a clone Cartasi in data attuale
anche alcuni altri files
riferiti a form clone Lottomatica
e numerosi files di kit di phishing (formato zip e tgz) riferiti a CartaSi.
![](//3.bp.blogspot.com/-JIzlFRW83hI/TsCQEVXzn6I/AAAAAAAAlIw/S7cR3J1sYP0/s320/carta%2Bzip%2Bsu%2Bredsite.jpg)
Il clone Lottomatica sfrutta un link a codice php su altro sito
mentre il codice riferito a CartaSi (linkato dalla mail di phishing CartaSi
redirige
a sito sviluppato in Word Press che a sua volta presenta shells, kit di phishing ecc...
nonche' il tipico clone CartaSi
Da quanto si vede esaminando i diversi codici php di invio credenziali sottratte dalle pagine clone si notato differenti indirizzi mail tra i KITs di phishing
e l'attuale codice php presente sul clone attivo sul sito compromesso
Edgar
![](http://2.bp.blogspot.com/-s62louVLy6Q/TsCPSGGvo_I/AAAAAAAAlH0/GxWp57QpX5I/s320/mail.jpg)
In questo caso si tratta di un layout piu' tradizionale con immagini facenti parte del messaggio e non linkate da siti esterni.
Una analisi degli headers mostra anche (non accade spesso) un probabile IP di origine come
![](http://2.bp.blogspot.com/-kvPnaAvsv_M/TsCU78y4oDI/AAAAAAAAlJ4/ujqsEOUHA5A/s320/headers.jpg)
Possiamo infatti trovare, oltre al codice di redirect a clone Cartasi in data attuale
![](http://4.bp.blogspot.com/-_A5nivPB8G0/TsCPSXRYJuI/AAAAAAAAlIA/AcMuFoc8U9E/s320/lottomatica%2Be%2Bredir%2Bcartasi%2Bsu%2Bred.jpg)
![](http://1.bp.blogspot.com/-vuAJfmpDKf4/TsCPwh8ci6I/AAAAAAAAlIM/-3XU3O8Mt4U/s320/2%2Blottomatica%2Bsu%2Bredir.jpg)
![](http://2.bp.blogspot.com/-VGx2nM1vg2U/TsCPwjlpf5I/AAAAAAAAlIU/s_oW-xFFeAM/s320/lottopage%2B1.jpg)
![](http://3.bp.blogspot.com/-JIzlFRW83hI/TsCQEVXzn6I/AAAAAAAAlIw/S7cR3J1sYP0/s320/carta%2Bzip%2Bsu%2Bredsite.jpg)
![](http://3.bp.blogspot.com/-LhTOAi3b8Ew/TsCQEJXgZuI/AAAAAAAAlIk/mX10FKRuZ-M/s320/carta%2Btgz%2Bsu%2Bredsiite.jpg)
![](http://3.bp.blogspot.com/-laNHEFY9rrc/TsCQElEGKqI/AAAAAAAAlI8/fNdfhaJSrh0/s320/form%2Baction%2Blottomatica%2Bin%2Bredir.jpg)
![](http://4.bp.blogspot.com/-_A5nivPB8G0/TsCPSXRYJuI/AAAAAAAAlIA/AcMuFoc8U9E/s320/lottomatica%2Be%2Bredir%2Bcartasi%2Bsu%2Bred.jpg)
![](http://4.bp.blogspot.com/-80thzcc5JmI/TsCRTmAL2gI/AAAAAAAAlJg/hb1iWp9TEjc/s320/redir%2Bcode.jpg)
![](http://2.bp.blogspot.com/-ssvUEXeJDr4/TsCQuF4_tFI/AAAAAAAAlJI/h9LYdtq151I/s320/kit%2Bsu%2Bclone%2Bsite.jpg)
Da quanto si vede esaminando i diversi codici php di invio credenziali sottratte dalle pagine clone si notato differenti indirizzi mail tra i KITs di phishing
![](http://4.bp.blogspot.com/-j60t_dXDNEQ/TsCQucAUmqI/AAAAAAAAlJU/ubMx5NlpLA4/s320/old%2Bphp%2Bcartasi%2B6%2B11.jpg)
![](http://1.bp.blogspot.com/-7fIHSv_yyVM/TsCSKwkjv5I/AAAAAAAAlJs/bKwiSwqwgbA/s320/php%2Bredir%2Bclone%2Bcartasi%2Binvio%2Bmail.jpg)
Nessun commento:
Posta un commento