Il 'bonus' in denaro nei messaggi di phishing ai danni di PosteIT e' sicuramente un 'classico' che e' presente in rete ormai da anni.
Questa l'odierna mail
che vede un header con questi IP (uno IT)
Il redirect e hostato su
e punta a sito UK anche se con whois USA (sito di ricambi per moto), che utilizza
per la gestione del catalogo e delle vendite.
Un ricerca in rete evidenzia diverse vulnerabilita' per questa piattaforma di e-commerce, e non e' escluso che proprio una di queste sia stata usata per compromettere il sito,
In effetti nel folder principale dell'applicativo troviamo la presenza di shell php utilizzata probabilmente dai phishers.
Questa la struttura del folder che mostra anche un KIT relativo al suddetto phishing PosteIT
Kit che analizzato evidenzia data attuale per il codice php di invio attraverso mail di dati eventualmente acquisiti.
Questo invece, un dettaglio del folder sul sito compromesso
che ospita il clone PosteIT dal layout noto (notate le date dei files al 2007 tranne il php)
Il file php on-line sul sito compromesso mostra identici indirizzi mail a quelli del KIT, per l'invio delle credenziali sottratte dal phishing (da notare che le mail a cui vengono inoltrati i dati sono 2 e presentano nominativi italiani anche se questa cosa non e' particolarmente significativa)
Sempre lo steso php nella parte iniziale esegue dei controlli abbastanza approfonditi sui dati immessi come ad esempio quello che vediamo relativo a differente marchio di carta di credito.
Edgar
Questa l'odierna mail
che vede un header con questi IP (uno IT)
Il redirect e hostato su
e punta a sito UK anche se con whois USA (sito di ricambi per moto), che utilizza
per la gestione del catalogo e delle vendite.
Un ricerca in rete evidenzia diverse vulnerabilita' per questa piattaforma di e-commerce, e non e' escluso che proprio una di queste sia stata usata per compromettere il sito,
In effetti nel folder principale dell'applicativo troviamo la presenza di shell php utilizzata probabilmente dai phishers.
Questa la struttura del folder che mostra anche un KIT relativo al suddetto phishing PosteIT
Kit che analizzato evidenzia data attuale per il codice php di invio attraverso mail di dati eventualmente acquisiti.
Questo invece, un dettaglio del folder sul sito compromesso
che ospita il clone PosteIT dal layout noto (notate le date dei files al 2007 tranne il php)
Il file php on-line sul sito compromesso mostra identici indirizzi mail a quelli del KIT, per l'invio delle credenziali sottratte dal phishing (da notare che le mail a cui vengono inoltrati i dati sono 2 e presentano nominativi italiani anche se questa cosa non e' particolarmente significativa)
Sempre lo steso php nella parte iniziale esegue dei controlli abbastanza approfonditi sui dati immessi come ad esempio quello che vediamo relativo a differente marchio di carta di credito.
Edgar
Nessun commento:
Posta un commento