domenica 18 dicembre 2011

Phishing PostePay (18 dicembre)

Ricevuta mail di phishing ai danni di PosteIT

che vede la struttura del folder di phishing presentare altre al solito codice php anche due html di cui uno solo parrebbe comunque essere utilizzato

Il file con data meno recente mostra essere debolmente offuscato ed il codice presente non pare aver configurato un corretto indirizzo per il 'form action'

In effetti esaminado il KIT di phishing presente

troviamo identica struttura tranne che per il nome diverso del file html attivo

ed anche in questo caso abbiamo i due html di cui uno offuscato e non correttamente configurato

Il link in mail punta comunque al file 'funzionante' (html con data recente) che sfrutta il php presente come si nota da questo screenshot

Interessante vedere una parte del source (una riga di commento in romeno piu' 4 di codice) contrassegnata da // (commenti) e quindi non eseguita e che corrisponde ad una eventuale scrittura su disco delle credenziali sottratte dal phishing.
Si tratta un differente metodo di acquisizione dei dati di phishing molto comune in questi casi in alternativa od in unione all'invio al phisher via mail delle credenziali digitate nel fake form.

Un whois vede il clone ospitato su server

che gia' in data 16 dicembre era coinvolto in altro phishing PostePay attraverso questa mail

(testo con riferimenti a dispositivo OTP (one time password) ma comunque con date al febbraio 2011) e l'utilizzo della stessa struttura di clone (compreso il file html non attivo)

anche se in differente percorso

Edgar

Nessun commento: