La struttura del folder del sito di phishing mostrava anche la presenza di un codice PHP legato a fake form CartaSI
Questa mattina la conferma attraverso la ricezione di mail dal tipico contenuto di phishing CartaSI e con allegato form
Gli headers indicano nuovamente un range IP UK coome nei casi precedenti
mentre il form
usa un codice PHP hostato su dominio visto ieri e relativo a phishing TIM
In definitiva abbiamo la conferma che attualmente sono presenti in rete ed utilizzati tre KITS di phishing mirati a
Vodafone (leggi QUI)
WIND (leggi QUI)
e TIIM visto ieri (leggi QUI)
tutti con struttura simile, e con presenza di cloni 'accessori' Lottomatica e PosteIT
Inoltre in quasi tutti i casi analizzati abbiamo uguale layout mail (codice in base64), l'host su server in range IP UK ed i domini utilizzati sono tutti creati poche ore prima di attivare il clone di phishing.
Gli stessi domini servono anche, come visto adesso, a supportare un codice PHP che gestisce un form CartaSI allegato in mail.
Edgar
Nessun commento:
Posta un commento