Si tratta ancora una volta della dimostrazione di come i phishers cerchino sempre nuovi obbiettivi da colpire selezionandoli tra quelli che dovrebbero assicurare una vasta 'utenza' da colpire.
Non c'e' di meglio quindi che un phishing ai danni di grandi compagnie di servizi come ad esempio la francese EDF.
Ecco come si presentano i forms fake di acquisizione dati personali che ha partire da questa fake pagina di attesa con animazione
propongono sia l'acquisizione dei dati anagrafici
che di quelli bancari
per terminare con il redirect al legittimo sito EDF
Il tutto e' giustificato, nelle fake pagine, da testo che informa dell'utilizzo dei dati 'raccolti' al fine di gestire il contratto con l'azienda, il pagamento di bollette ecc.....
Stranamente l'IP di hosting di questo phishing, pur trattandosi di attacco ad azienda francese, risulta su server FR (Francia)
cosa che contrasta con la maggior parte dei phishing analizzati nei quali vengono utilizzati servers e siti compromessi locati in nazioni diverse da quelle dove risiedono gli obbiettivi da colpire.
Vediamo ora qualche dettaglio su come viene gestito questo phishing ed in particolare quello dell'uso della generazione di un folder specifico ad ogni accesso al fake sito, folder che conterra' copia del clone EDF.
Lo scopo di questa procedura, peraltro gia' vista in altri casi di phishing (vedi QUI), e' quello di creare un percorso alle false pagine con nomi sempre differenti, cosa utile al contrasto della messa in blacklist dell'indirizzo di phishing.
Uno dei modi piu' semplici per analizzare nel dettaglio cosa eseguono i vari codici php presenti nel phishing EDF, e' quello di installare il KIT di phishing (reperito online), in un ambiente di test che usa server WEB Apache in Linux.
Questo screenshot mostra chiaramente come al lancio del sito di phishing (in locale) vengano creati i folders con nome random (un nuovo folder ad ogni run del file index.php)e con contenuti copia del''originale' folder denominato 'loging' ed, inoltre, come venga incrementata la variabile contatore su un file 'di servizio' txt.
In dettaglio vediamo la pagina del form dati personali il cui percorso (evidenziato in azzurro) corrisponde al relativo folder creato.
Questo il semplice codice del file index.php
con sommariamente evidenziate le funzionalita' delle varie parti che lo compongono.
Naturalmente non poteva mancare, tra i vari PHP, anche la gestione dei dati sottratti con l'invio via mail (2 webmails) delle credenziali acquisite dai forms.
Edgar
Nessun commento:
Posta un commento