Ancora phishing
Paypal con questa mail
![](//2.bp.blogspot.com/-iMBhWyce8bw/TxwkYSziE-I/AAAAAAAAn14/GtnvZvjcA08/s320/mail.jpg)
dal layout accurato e dal logo in lingua francese, cosi come alcuni testi delle pagine clone e di variabili del codice php di invio credenziali sottratte, segno di possibile origine da sorgente di phishing
Paypal in lingua francese.
Il link in mail punta a redirect ![](//4.bp.blogspot.com/-VEkf40spEoI/TxwnPVKgNjI/AAAAAAAAn2w/oXx1rUfzqEA/s320/redir%2Bdate%2Bfile.jpg)
hostato su sito USA compromesso che propone anche diverse shells php incluse in folder utilizzato
sia per hostare il redirect a clone Paypal IT che ad altro clone PayPal in lingua tedesca.(notate data odierna per il redirect a clone PayPal IT)![](//2.bp.blogspot.com/-7rIoK2gmukQ/Txwk8ynYKYI/AAAAAAAAn2Y/bl-jaP0HbBo/s320/paypals%2Bit%2B%2Bted.jpg)
Il redirect punta a sito
con whois![](//1.bp.blogspot.com/-fzZr96LLDE4/TxwkZQGxTkI/AAAAAAAAn2I/7SqgiHqcBWg/s320/wh%2Bclone.jpg)
con evidenti segni di compromissione come la presenza di diverse shells php.
Sempre incluso nello stesso sito troviamo il clone
![](//2.bp.blogspot.com/-rJLiif5bNsQ/Txwl1dQqFMI/AAAAAAAAn2k/KQ6iSK0OuRU/s320/phi%2Bsiite%2Bstruct.jpg)
ed il kit di
phishing PayPalUn confronto con
il precedente phishing PayPal descritto qualche giorno fa
![](//2.bp.blogspot.com/-_Nf-r8g6iH8/TxoNf6WS8bI/AAAAAAAAnw4/CZGWc9GFn98/s320/php%2Bclone%2Bdate.jpg)
mostra evidenti analogie
sia con la struttura del sito copia che con i nomi dei codici che gestiscono il phishing.(es file BiMAr.php)L'unica sostanziale differenza e' l'indirizzo mail a cui vengono inviati i dati eventualmente acquisiti e che consiste questa volta
in ben tre nominativi ![](//3.bp.blogspot.com/-UL7a7NmaNUA/TxwpheRnDwI/AAAAAAAAn28/ZtW6vH3SVK8/s320/php%2Bsend%2Bmails.jpg)
Da notare come si cerchi sempre di
acquisire il maggior numero di dati compreso una ampia scelta di differenti gestori di carte di credito.
Edgar
Nessun commento:
Posta un commento