Si tratta di un vero e proprio 'repository' di fake pagine di login che propone cloni relativi ai piu' noti servizi web tra cui accessi a webmail come Yahoo, Hotmail o GMail ma anche servizi internet come Skype, a siti di giochi come Steam o il noto Youtube od ancora a PayPal, Facebook, Twitter.....
Vediamo alcuni interessanti dettagli.
Su sito con domino .SA (country code top-level domain (ccTLD) of Saudi Arabia) ma con whois
la homepage risulta essere sostituita da
Una ricerca in rete evidenzia che il sito parrebbe essere stato compromesso gia' da tempo, ed almeno a partire dal mese di ottobre
Analizzando i contenuti scopriamo alcuni folders
con nome costituito da numeri (da 12 a 16) e che presentano tutti la seguente struttura
Ci vuole poco a capire che si tratta di subfolders che ospitano altrettante fake pagine di login a noti servizi Web ed in particolare abbiamo
ecc....
Di alcuni dei cloni presenti esistono differenti 'versioni' tra cui quelle in lingua araba
con ad esempio
ed
Naturalmente, come succede spesso, sul sito sono uploadati diversi codici php di shells e di tools utilizzati per la gestione dei codici inclusi. (notate le date attuali )
Si puo' vedere come la presenza della pagina di hacking 'nasconda' al visitatore ulteriori folders che rivelano la presenza di altri cloni tra cui hotmail, facebook, paypal ecc..
ed i relativi kits
ma anche un clone del noto sito di condivisione files 4Shared
con il relativo kit.
La struttura delle pagine clone presenti parrebbe, nei casi analizzati, utilizzare un frame con indirizzo a sito web differente, per la gestione dei dati raccolti
e punta a sito Web con account attualmente sospeso
e di conseguenza l'azione di phishing non risulta essere piu' attiva.
In ogni caso si tratta di un notevole esempio di come l'acquisizione di credenziali di login a servizi di Web Mail, giochi online, social networks ecc... sia sempre una tra le attivita' di phishing tra le piu' presenti in rete.
Edgar
Nessun commento:
Posta un commento