che compare in un phishing IT.
Esaminando il subfolder che ospita il clone notiamo in realta' decine di subfolders dai nomi 'random' ognuno dei quali ospita un singolo clone copia e relativi files accessori quali immagini, codici php di invio credenziali acquisite dal form ecc...
La prima cosa a cui si pensa e' che i phishers creino in successione diversi folder dai nomi differenti da mettere on-line ad intervalli piu' o meno lunghi di tempo per evitare il black-listing della url ma l'analisi rivela cosa ben diversa.
Proviamo quindi attraverso l'uso di un server web temporaneo in ambiente Linux ad installare il KIT di phishing acquisito, attiviamo i permessi di scrittura nei vari subfolder coinvolti e simuliamo una serie di accessi al sito clone.
In realta' si puo' vedere come la creazione dei vari folder sia automaticamente generata dal nostro accesso al sito di phishing.
In altre parole ogni volta che lanciamo il 'main' file di phishing il codice php in esso contenuto genera un nuovo folder dal nome casuale, ci copia dentro i contenuti originali del folder usato come struttura base ed apre la pagina web clone proponendocela a video.
E' evidente quindi che il grande numero di folders random trovati nell'analisi del sito di phishing sia collegato al numero di visitatori e precisamente ad ogni nuovo visitatore avremo la creazione di un nuovo folder dal nome random e che ospitera' copia del clone 'base'.
Un ingegnoso metodo di evitare black-listing della url e possibile riconoscimento del phishing attraverso l'analisi della url.
Edgar
Nessun commento:
Posta un commento