Poche righe per aggiornare il post di ieri sul phishing Banca Reale.
In linea con i 'consueti' metodi applicati dai phishers il link gestito dal redirect e' cambiato e punta ora a differente folder, rimanendo sempre sul medesimo sito che ospita l'Asset Manager Innova Studio gia' visto ieri.
Si tratta di una consueta procedura atta ad evitare eventuali blacklist dell'indirizzo del clone di phishing.
Questa l'attuale struttura dove vediamo il nuovo nome della pagina home (login) del clone Banca Reale
mentre per quanto si riferisce ai codici php di invio credenziali sottratte, risultano sempre i medesimi indirizzi mail utilizzati ieri. (notare sempre la doppia estensione)
L'estensione presente come php.pgif serve ad evitare il blocco dell'upload con Asset Manager che riconosce l'estensione php come 'pericolosa', ma non files con doppia estensione php.pgif che vengono caricati senza problemi
Chiaramente i files cosi ' ridenominati ', una volta fatto l'upload possono venire eseguiti quanto un normale file php permettendo sia l'uso di shells remote che di codici php a supporto dei forms di phishing.
Edgar
In linea con i 'consueti' metodi applicati dai phishers il link gestito dal redirect e' cambiato e punta ora a differente folder, rimanendo sempre sul medesimo sito che ospita l'Asset Manager Innova Studio gia' visto ieri.
Si tratta di una consueta procedura atta ad evitare eventuali blacklist dell'indirizzo del clone di phishing.
Questa l'attuale struttura dove vediamo il nuovo nome della pagina home (login) del clone Banca Reale
mentre per quanto si riferisce ai codici php di invio credenziali sottratte, risultano sempre i medesimi indirizzi mail utilizzati ieri. (notare sempre la doppia estensione)
L'estensione presente come php.pgif serve ad evitare il blocco dell'upload con Asset Manager che riconosce l'estensione php come 'pericolosa', ma non files con doppia estensione php.pgif che vengono caricati senza problemiChiaramente i files cosi ' ridenominati ', una volta fatto l'upload possono venire eseguiti quanto un normale file php permettendo sia l'uso di shells remote che di codici php a supporto dei forms di phishing.
Edgar
Nessun commento:
Posta un commento