Si e' iniziato con un phishing ai danni di Banca Valsabbina rilevato quando erano le prime ore del mattino in Thailandia (quindi notte in Italia) e che e' comunque stato contrastato dalla banca rendendolo praticamente inattivo dopo poche ore.
Da notare come detto phishing pur avendo alcune caratteristiche (vedi es. redirect su Altervista) che lo accomunavano ai soliti di R-team presentasse comunque un redirect al clone che sfruttava sito UK compromesso
ma senza la possibilita' di rilevare l'utilizzo dei soliti files managers comuni in questi casi.Terminato l'attacco a Valsabbina sempre il medesimo sito di redirect e' passato ad ospitare direttamente un clone C.R. Bolzano (tuttora attivo) che, come rileva anche Denis Frati sul suo blog, presenta pero' forms con i codici di gestione php ospitati su altro sito.
Da notare che, rispetto a quanto illustra Denis Frati sul clone da lui rilevato
parrebbe adesso esserci diverso timestamp sui files htm (da 10:34 a 15:05)
e il link al sito che ospita i php di acquisizione credenziali eventualmente sottratte sia ora differente (si tratta di comune modifica dei redirects attuata dai phishers per evitare blacklisting ecc.....)
con un whois
Una analisi del sito compromesso che ospita i codici php ritorna a proporre un Asset Manager Innova Studio
che evidenzia la presenza , oltre ai php visti, anche di mailer
Questo utilizzo di Asset Manager ricorda nuovamente gli attacchi R-Team ben noti ma una analisi dei sorgenti php
ci rivela indirizzo mail differente dall'usuale R-Team almeno rispetto a recenti attacchi di phishing, cosa che fa quindi rimanere qualche dubbio sugli attuali gestori degli stessi.Per di piu' CR Bolzano e' coinvolta, questa mattina 26 gennaio (ora Thai) in altro attacco
che si sviluppa tramite sito compromesso USA, di Hotel, che punta tramite redirect a clone hostato su dominio creato in data odierna
attraverso il 'solito' servizio di hosting usato molto in passato da r-teamIn questo caso i form di login e richiesta pin hanno i codici php direttamente linkati nel medesimo folder che usa il clone
C'e' comunque da rilevare che comparando i due sources htm sia del clone su sito UK che quello su hosting USA le differenze sono minime
ed abbiamo lo stesso nome di file tanto da far pensare a stesso kit di phishing se non, ad origine comune dei due attacchi.Per terminare abbiamo pure attivo al momento un phishing ai danni di Banca Popolare dell'Emilia Romagna che sfrutta hosting su sito USA compromesso (sito di E-Commerce) gia' analizzato in precedente post
L'unica differenza che, dal messaggio mail segnalato in rete, parrebbe esserci adesso link diretto al clone, senza che venga sfruttato il redirect intermedio visto in precedenza.
Questo il clone BPER
Edgar
Nessun commento:
Posta un commento