Anche per fine anno troviamo on-line un clone di phishing ai danni di banca IT e sempre, molto probabilmente, gestito dagli stessi personaggi che da tempo attaccano banche IT a diffusione prevalentemente regionale.
Si tratta di phisihng
Banca Reale di cui vediamo lo screenshot del clone![](//3.bp.blogspot.com/-yOoOOAIVJTI/Tv5xUE_eoYI/AAAAAAAAm90/F_Ho4Y1279w/s320/clone.jpg)
Questo il testo della mail
![](//3.bp.blogspot.com/-CWB1JYNGbdg/Tv50OjPkYgI/AAAAAAAAm-M/7bvslyS7wus/s320/testo%2Bmail.jpg)
con link che punta al consueto redirect gestito dall'immancabile (nel caso di questi attacchi di phishing a banche IT)
Innova Studio Asset Manager
su sito vietnamita![](//2.bp.blogspot.com/-8sXZscqPpJ8/Tv5wzIIBrMI/AAAAAAAAm9A/b77dRHnDnK8/s320/vh%2Bred.jpg)
Il redirect punta a
clone Banca Reale![](//3.bp.blogspot.com/-yOoOOAIVJTI/Tv5xUE_eoYI/AAAAAAAAm90/F_Ho4Y1279w/s320/clone.jpg)
su sito
![](//3.bp.blogspot.com/-Z7sAssT3wOs/Tv5wzWmRPaI/AAAAAAAAm9c/GEBwysvga0E/s320/wh%2Bclone.jpg)
Anche in questo caso
Innova Studio Asset Manager che ha permesso l'upload sia dei codici del clone che alcune shells
![](//1.bp.blogspot.com/-OchacmZFj0Y/Tv5wzJz8nDI/AAAAAAAAm9M/e_9R0SowhwQ/s320/clone%2Bphhp%2Bin%2Basset.jpg)
Da notare come anche i codici php legati al form di phishing siano stati offuscati nel nome ridenominandoli in maniera leggermente diversa dal solito
xxxx.php.pgifEcco la struttura del folder
che ospita il clone![](//4.bp.blogspot.com/-Hetxs-BlRcw/Tv5wz7hc34I/AAAAAAAAm9o/l6HOIIGvWNI/s320/struct.jpg)
i cui codici php presentano indirizzo
mail di invio credenziali eventualmente sottratte, leggermente variato rispetto al noto indirizzo mail di R-team (vedi precedenti posts)
Edgar
Nessun commento:
Posta un commento