Il tentativo di furto di credenziali di accesso a servizi Webmail e' sempre piu' diffuso e rivela, a volte, con quale cura venga gestito questo genere di phishing.
Il caso esaminato oggi mostra come diverse tecniche usate dai phishers (redirect, nomi ingannevoli di dominio, uso di riferimenti a servizi legittimi di verifica sicurezza in rete, layout ingannevoli ecc.... ) possano essere usate in combinazione tra loro al fine di creare pagine di login anche strutturate in modo da eludere eventuali verifiche antiphishing sui codici utilizzati (offuscamento dei sources) .
Ecco alcuni dettagli che vedono coinvolto un sito IT compromesso che serve come redirect al sito finale di phishing che, come vedremo, risulta chiaramente compromesso presentando pagina di hacking.
Questo il sito IT
con whois
che mostra incluso un codice php che redirige al phishing. (layout anonimo senza riferimenti a Microsoft)
Il fake login, che vediamo in dettaglio
una volta acquisiti i dati propone questa pagina di conferma
Un whois mostra come il fake login sia ospitato su IP
e sfruttando il quale si e' creato un sottodominio da nome ingannevole
Il riferimento a Microsoft risulta invece evidente eseguendo una analisi del folder che ospita i contenuti di phishing denominato 'WEBMAIL_SERVER'
Quello che si nota e' la presenza, oltre che dei codici di login, anche di una pagina con testo e loghi Microsoft e che vediamo tradotta sommariamente tramite servizio Google.
Si tratta probabilmente del testo che viene usato per giustificare la richiesta di login al servizio webmail Microsoft e che potrebbe essere o allegato in mail o comunque linkato da un fake messaggio di spam.
Osservando meglio il folder che ospita i codici di phishing notiamo anche come parecchi dei files presenti siano a coppie di due con nome identico tranne che per la stringa di testo .PreEnc
Proviamo ad aprire la coppia dei due files relativi al testo fake che sollecita l'accesso alla webmail ed otteniamo
Come si nota abbiamo identico layout di pagina.
Cosa ben diversa invece se analizziamo i sources
dove notiamo che c'e' una 'versione' in chiaro ed una versione 'offuscata' entrambe che restituiscono lo stesso contenuto di pagina web.
Se proviamo a decodificare il codice offuscato presente, otteniamo il medesimo codice della pagina web in chiaro.
In particolare il codice offuscato e' abbastanza complesso e come si vede da una sommaria analisi contiene una funzione di decodifica offuscata che a sua volta serve per deoffuscare le altre parti del testo della pagina.
Ecco una sommaria visualizzazione di come opera il codice offuscato e in particolare la funzione che a sua volta serve per deoffuscare l'altra parte del testo.
Inoltre il codice della pagina (anche quello deoffuscato) mostra come i loghi presenti vengano acquisiti da siti legittimi non legati direttamente al phishing.
La cosa forse piu particolare e quasi paradossale e' che il logo Microsoft Digital Crimes Unit e' linkato da pagina Softpedia che descrive proprio uno Scam ai danni di Microsoft dal titolo 'Cyber-Crime Department Phishing Scam Targets Microsoft Customers'.
ed in dettaglio
Il colmo e' infatti che i phishers, stanno sfruttando una immagine con logo Microsoft che e' parte a sua volta di un articolo online che denuncia lo scam proprio ai danni dei clienti Microsoft.
Edgar
Nessun commento:
Posta un commento