lunedì 20 agosto 2012

Creazione ed uso di folders dal nome casuale in maniera automatica per ospitare cloni di phishing (20 agosto)

Analizzando vari siti di phishing si trovano a volte codici php che nella loro pur semplice struttura, permettono ai phishers di rendere meno sensibili al black-listing od al rilevamento da parte di softwares di sicurezza, i cloni online.

Si tratta ad esempio di questo codice php


che compare in un phishing IT.


Esaminando il subfolder che ospita il clone notiamo in realta' decine di subfolders dai nomi 'random'  ognuno dei quali ospita un singolo clone copia e relativi files accessori quali immagini, codici php di invio credenziali acquisite dal form ecc...


La prima cosa a cui si pensa e' che i phishers creino in successione diversi folder dai nomi differenti da mettere on-line ad intervalli piu' o meno lunghi di tempo per evitare il black-listing della url ma l'analisi rivela cosa ben diversa.

Proviamo quindi attraverso l'uso di un server web temporaneo in ambiente Linux ad installare il KIT di phishing acquisito, attiviamo i permessi di scrittura nei vari subfolder coinvolti e simuliamo una serie di accessi al sito clone.


In realta' si puo' vedere come  la creazione dei vari folder sia automaticamente generata dal nostro accesso al sito di phishing. 
In altre parole ogni volta che lanciamo il 'main' file di phishing il codice php in esso contenuto genera un nuovo folder dal nome casuale, ci copia dentro i contenuti originali del folder usato come struttura base ed apre la pagina web clone proponendocela a video.


E' evidente quindi che il grande numero di folders random trovati nell'analisi del sito di phishing sia collegato al numero di visitatori e precisamente ad ogni nuovo visitatore avremo la creazione di  un nuovo folder dal nome random e che ospitera' copia del clone 'base'.


Un ingegnoso metodo di evitare black-listing della url e possibile riconoscimento del phishing attraverso l'analisi della url.



Edgar

Nessun commento: