Ricevuta fake mail ai danni di CartaSi, che si dimostra, attualmente, una delle aziende piu' prese di mira dai phishers.
Il layout e' praticamente identico a precedenti mails,
e vede come headers anche un IP “da queste parti “
Il link punta questa volta a sito italiano
pesantemente compromesso al punto che si possono rilevare anche da una sommaria analisi, parecchie shells php, file zippato contente una serie di pagine di pharmacy
e relativo contenuto estratto sul sito,
Un folder
con decine di pagine simili a blog utilizzate probabilmente per linkare ad altri siti di di dubbia affidabilita'
![](//1.bp.blogspot.com/-xNsABVQp0IE/TuiFlng4cLI/AAAAAAAAmTE/dGGlADbLdsQ/s320/fake%2Bblog.jpg)
ed inoltre sono anche presenti links a siti porno.
Chiaramente un sito compromesso e facilmente utilizzabile dai phishers come hosting del codice di redirect
![](//4.bp.blogspot.com/-b0fHzVgZx7Y/TuiH0QpEk7I/AAAAAAAAmUw/aT9m_N37JBo/s320/code%2Bredir%2Bphp.jpg)
che punta a sito compromesso USA sviluppato in WordPress e che mostra questa struttura di folders che contiene il clone CartaSi
Questo uno dei codici php
che redirigono al reale sito dopo aver inviato al phisher la mail con i dati eventualmente sottratti a chi fosse caduto nel tranello della falsa mail.
Edgar
Il layout e' praticamente identico a precedenti mails,
![](http://1.bp.blogspot.com/-sYglUMfdhHA/TuiG9R7lDZI/AAAAAAAAmUA/TbX0yXAW4Ls/s320/mail.jpg)
![](http://4.bp.blogspot.com/-elp-1D8hKuI/TuiFl1qShBI/AAAAAAAAmTg/I6KlRylV0SE/s320/headers.jpg)
![](http://3.bp.blogspot.com/-D6jqV4tN9jk/TuiG9iWC5iI/AAAAAAAAmUM/dXOw-wKb0Pk/s320/wh%2Bit.jpg)
![](http://4.bp.blogspot.com/-JO0_rrSN1Sg/TuiF-dW4sEI/AAAAAAAAmTw/rv_6enQqh4o/s320/pharma%2Bsemplice.jpg)
![](http://4.bp.blogspot.com/-fQY9OwVcXSQ/TuiF-TdUntI/AAAAAAAAmTo/OxNFJyyn3VA/s320/list%2Bpharmacy%2Bfolder.jpg)
![](http://3.bp.blogspot.com/-gkWL69OQcvE/TuiFl_BpduI/AAAAAAAAmTM/ka3pSn7s0BY/s320/blog%2Bfolder.jpg)
![](http://1.bp.blogspot.com/-xNsABVQp0IE/TuiFlng4cLI/AAAAAAAAmTE/dGGlADbLdsQ/s320/fake%2Bblog.jpg)
ed inoltre sono anche presenti links a siti porno.
Chiaramente un sito compromesso e facilmente utilizzabile dai phishers come hosting del codice di redirect
![](http://4.bp.blogspot.com/-b0fHzVgZx7Y/TuiH0QpEk7I/AAAAAAAAmUw/aT9m_N37JBo/s320/code%2Bredir%2Bphp.jpg)
che punta a sito compromesso USA sviluppato in WordPress e che mostra questa struttura di folders che contiene il clone CartaSi
![](http://1.bp.blogspot.com/-atLcSWj92kc/TuiHduvIppI/AAAAAAAAmUo/MjUJzMqBZHA/s320/clone%2Be%2Bphp%2B%2B2011-12-14_144943.jpg)
![](http://4.bp.blogspot.com/-1dhiNHiFjzA/TuiHdtJXXBI/AAAAAAAAmUY/i5ZEeN2aUzA/s320/php%2Bcode%2Bsernd%2Bmail.jpg)
Edgar
Nessun commento:
Posta un commento