Interessante questa mai di phishing dal layout noto
con headers
e che vede come redirect un hosting su sito USA gia' ampiamente utilizzato in passato sia per phishing CartaSi ma anche ai danni di altre aziende IT (es Lottomatica)
Esaminando il folder che contiene i files necessari al redirect
notiamo oltre al redirect attuale (in uso)
anche un codice di redirect a precedente phishing CartaSi
e che e' attualmente ON-line e perfettamente funzionante
Interessante anche un file PHP con codice (che esamineremo in seguito nel post) che scrive credenziali su file testo denominato error_log
Una analisi del contenuto denota credenziali acquisite nel mese di novembre 2011
Seguendo il redirect attuale veniamo trasferiti sul clone CartaSi (layout identico al precedente old
ma con whois
Da notare come anche questo sito sia sviluppato in WordPress, che si dimostra la piattaforma da attaccare preferita per questi phishers CartaSi.
E' molto probabile che anche in questo specifico caso si sia utilizzata una nota vulnerabilita' di plugin WordPress considerato che il folder
presenta un folder cache con un completo 'repository' di shells remote
tra cui
ed
ed
Inoltre sono presenti alcuni codici php
che sono simili a quelli documentati in rete ed utilizzati normalmente per sfruttare vulnerabilita' plugin WordPress del tipo Timthumb Vulnerability
Ritornando al clone da notare come sia ospitato in un folder in compagnia di un php e di un file credenziali visti gia' in precedenza. (manga.php) (.error_log)
In dettaglio il php presenta
e scrive un file come
dove troviamo attualmente un unico record con whois tedesco (test del phisher ?)
Se esaminiamo il clone in uso linkato in mail abbiamo invece questo php
che in dettaglio vede
cosa che fa pensare che il php con scrittura anche su file delle credenziali al momento non venga utilizzato, almeno da questo phishing.
Edgar
con headers
e che vede come redirect un hosting su sito USA gia' ampiamente utilizzato in passato sia per phishing CartaSi ma anche ai danni di altre aziende IT (es Lottomatica)Esaminando il folder che contiene i files necessari al redirect
notiamo oltre al redirect attuale (in uso)
anche un codice di redirect a precedente phishing CartaSi
e che e' attualmente ON-line e perfettamente funzionante
Interessante anche un file PHP con codice (che esamineremo in seguito nel post) che scrive credenziali su file testo denominato error_logUna analisi del contenuto denota credenziali acquisite nel mese di novembre 2011
Seguendo il redirect attuale veniamo trasferiti sul clone CartaSi (layout identico al precedente old
ma con whois
Da notare come anche questo sito sia sviluppato in WordPress, che si dimostra la piattaforma da attaccare preferita per questi phishers CartaSi.E' molto probabile che anche in questo specifico caso si sia utilizzata una nota vulnerabilita' di plugin WordPress considerato che il folder
presenta un folder cache con un completo 'repository' di shells remote
tra cui
ed
ed
Inoltre sono presenti alcuni codici php
che sono simili a quelli documentati in rete ed utilizzati normalmente per sfruttare vulnerabilita' plugin WordPress del tipo Timthumb Vulnerability
Ritornando al clone da notare come sia ospitato in un folder in compagnia di un php e di un file credenziali visti gia' in precedenza. (manga.php) (.error_log)
In dettaglio il php presenta
e scrive un file come
dove troviamo attualmente un unico record con whois tedesco (test del phisher ?)Se esaminiamo il clone in uso linkato in mail abbiamo invece questo php
che in dettaglio vede
cosa che fa pensare che il php con scrittura anche su file delle credenziali al momento non venga utilizzato, almeno da questo phishing.Edgar
Nessun commento:
Posta un commento