martedì 3 gennaio 2012

Nuovo anno, vecchio phishing. Phishing PostePay - PosteIT 2012 (3 gennaio)

Cosi' come era terminato il 2011 (vedi questo post) anche l'inizio 2012 propone nuovamente un phishing PostePay sempre attribuibile ai medesimi phishers

Gia' dal layout mail

si nota che si tratta delle medesime azioni di phishing viste numerose a fine anno, che utilizzano form allegato al messaggio mail


e codice php di gestione credenziali acquisite hostato su sito compromesso.

Questo un dettaglio della homepage del sito con whois usa che si occupa di avvenimenti sportivi

e che mostra nel folder utilizzato dalla chat


alcune shells php usate probabilmente per la gestione del phishing e che parrebbero essere legate a qualche vulnerabilita' sfruttata relativa a detta chat.

Il file php che viene utilizzato per acquisire i dati personali eventualmente digitati nel form allegato alla mail fake di PostePay

mostra sempre la medesima mail di invio credenziali sottratte ed anche la scrittura di un file testo con i dati acquisiti.

Si tratta di date recenti per i records presenti e con Ip Est Europeo per il primo (probabile test da parte del phisher del corretto funzionamento del codice php)

sino a

con data recente.

Edgar

Nessun commento: