Ricevuta mail di phishing ai danni di PosteIT
che vede la struttura del folder di phishing presentare altre al solito codice php anche due html di cui uno solo parrebbe comunque essere utilizzato
Il file con data meno recente mostra essere debolmente offuscato ed il codice presente non pare aver configurato un corretto indirizzo per il 'form action'
In effetti esaminado il KIT di phishing presente
troviamo identica struttura tranne che per il nome diverso del file html attivo
ed anche in questo caso abbiamo i due html di cui uno offuscato e non correttamente configurato
Il link in mail punta comunque al file 'funzionante' (html con data recente) che sfrutta il php presente come si nota da questo screenshot
Interessante vedere una parte del source (una riga di commento in romeno piu' 4 di codice) contrassegnata da // (commenti) e quindi non eseguita e che corrisponde ad una eventuale scrittura su disco delle credenziali sottratte dal phishing.
Si tratta un differente metodo di acquisizione dei dati di phishing molto comune in questi casi in alternativa od in unione all'invio al phisher via mail delle credenziali digitate nel fake form.
Un whois vede il clone ospitato su server
che gia' in data 16 dicembre era coinvolto in altro phishing PostePay attraverso questa mail
(testo con riferimenti a dispositivo OTP (one time password) ma comunque con date al febbraio 2011) e l'utilizzo della stessa struttura di clone (compreso il file html non attivo)
anche se in differente percorso
Edgar
che vede la struttura del folder di phishing presentare altre al solito codice php anche due html di cui uno solo parrebbe comunque essere utilizzato
Il file con data meno recente mostra essere debolmente offuscato ed il codice presente non pare aver configurato un corretto indirizzo per il 'form action'
In effetti esaminado il KIT di phishing presente
troviamo identica struttura tranne che per il nome diverso del file html attivo
ed anche in questo caso abbiamo i due html di cui uno offuscato e non correttamente configurato
Il link in mail punta comunque al file 'funzionante' (html con data recente) che sfrutta il php presente come si nota da questo screenshot
Interessante vedere una parte del source (una riga di commento in romeno piu' 4 di codice) contrassegnata da // (commenti) e quindi non eseguita e che corrisponde ad una eventuale scrittura su disco delle credenziali sottratte dal phishing.
Si tratta un differente metodo di acquisizione dei dati di phishing molto comune in questi casi in alternativa od in unione all'invio al phisher via mail delle credenziali digitate nel fake form.
Un whois vede il clone ospitato su server
che gia' in data 16 dicembre era coinvolto in altro phishing PostePay attraverso questa mail
(testo con riferimenti a dispositivo OTP (one time password) ma comunque con date al febbraio 2011) e l'utilizzo della stessa struttura di clone (compreso il file html non attivo)
anche se in differente percorso
Edgar
Nessun commento:
Posta un commento