Segnalato in rete attualmente questo clone Banca Valsabbina
che e' hostato su sito compromesso con whois USA e che presenta attivo online un Asset Manager Innova Studio
che, come vediamo, ha permesso sia l'upload dei codici di gestione del clone che di diversi codici di shells php ma anche di un file che gestisce l'acquisizione delle credenziali di un phishing VISAUna analisi sia del codice PHP che gestisce l'acquisizione e recapito ai phishers dei dati sottratti da chi utilizzasse il fake form Valsabbina
che del codice VISA php (notate come alcune parole del codice siano tradotte in automatico da Google evidenziandone la probabile nazione di origine )
mostra strette analogie dei due indirizzai mail che differiscono solo per l'utilizzo di @gmail (clone Valsabbina) o di @googlemail (codice VISA)
Era comunque gia' successo in passato che a fianco del consueto phishing ai danni banche IT trovassimo anche attacchi a VISA gestiti sempre dagli stessi phishers.
Legato sempre alla stessa segnalazione viene proposto in rete anche questo sito con whois svizzero
che presenta Asset Manager Innova Studio
Oltre alle shells presenti abbiamo un codice PHP che, a fronte del medesimo indirizzo mail visto prima per Valsabbina, gestisce una acquisizione di credenziali ai danni di Lottomatica, redirigendo sul reale sito della nota azienda e sempre utilizzando la 'nota' mail.
Oltre ai codici di shells attivi troviamo anche pagine di 'test' come questa
che dimostrano l'elevato stato di compromissione del sito stesso.Per curiosita' c'e' da notare, come mi suggeriva anche Denis Frati, che in questi ultimi casi si nota la ricorrente presenza di files php ridenominati con doppia estensione .php.pgif od anche php.pjpg cosa che non succedeva nei mesi scorsi, e che sembra ulteriormente confermare la fonte comune sia dei casi odierni che di quelli visti il 16 novembre.
Edgar
Nessun commento:
Posta un commento