Ricevuta fake mail ai danni di CartaSi, che si dimostra, attualmente, una delle aziende piu' prese di mira dai phishers.
Il layout e' praticamente identico a precedenti mails,
e vede come headers anche un IP “da queste parti “
Il link punta questa volta a sito italiano
pesantemente compromesso al punto che si possono rilevare anche da una sommaria analisi, parecchie shells php, file zippato contente una serie di pagine di pharmacy
e relativo contenuto estratto sul sito,
Un folder
con decine di pagine simili a blog utilizzate probabilmente per linkare ad altri siti di di dubbia affidabilita'
ed inoltre sono anche presenti links a siti porno.
Chiaramente un sito compromesso e facilmente utilizzabile dai phishers come hosting del codice di redirect
che punta a sito compromesso USA sviluppato in WordPress e che mostra questa struttura di folders che contiene il clone CartaSi
Questo uno dei codici php
che redirigono al reale sito dopo aver inviato al phisher la mail con i dati eventualmente sottratti a chi fosse caduto nel tranello della falsa mail.
Edgar
Il layout e' praticamente identico a precedenti mails,
e vede come headers anche un IP “da queste parti “
Il link punta questa volta a sito italiano
pesantemente compromesso al punto che si possono rilevare anche da una sommaria analisi, parecchie shells php, file zippato contente una serie di pagine di pharmacy
e relativo contenuto estratto sul sito,
Un folder
con decine di pagine simili a blog utilizzate probabilmente per linkare ad altri siti di di dubbia affidabilita'
ed inoltre sono anche presenti links a siti porno.
Chiaramente un sito compromesso e facilmente utilizzabile dai phishers come hosting del codice di redirect
che punta a sito compromesso USA sviluppato in WordPress e che mostra questa struttura di folders che contiene il clone CartaSi
Questo uno dei codici php
che redirigono al reale sito dopo aver inviato al phisher la mail con i dati eventualmente sottratti a chi fosse caduto nel tranello della falsa mail.Edgar
Nessun commento:
Posta un commento