sabato 11 gennaio 2014

viste le spese affrontate durante le vacanze, Lei ha diritto a un bonus. Particolare phishing PosteIT.(11 gennaio)

PosteIT e' sicuramente una tra le aziende IT piu' prese di mira dai phishers.
Ecco un attuale phishing molto curato nel layout mail che sfrutta l'argomento delle '... spese affrontate durante le vacanze …..” per proporre un bonus del valore di 150 EURO.
Si tratta dell'ennesimo tentativo di sfruttare il periodo di crisi economica per proporre bonus o 'aiuti alle famiglie' come i recenti casi di phishing Carrefour dimostrano.
Nel phishing odierno si sfrutta l'argomento delle '... spese affrontate durante le vacanze …..' per proporre un fake bonus del valore di 150 EURO.
Particolarita' di questo phishing e' l'utilizzo di un link in mail che punta a sito compromesso che ospita un form PosteIT di phishing (in formato zip) con download del file proposto in maniera automatica.
Di solito vediamo i fake forms come allegati in mail o come presenti su pagine web create allo scopo ma di rado come file scaricabili da sito compromesso, cosa che ricorda di piu' i molti casi di distribuzione malware sotto forma di contenuti eseguibili scaricabili dalla rete.
Altra caratteristica di questo  phishing e' l'uso di siti compromessi gestiti in Joomla e la presenza di IP tutti del medesimo hoster IT sia per gli headers mail che per il sito compromesso che gestisce l'host del codice PHP di invio delle credenziali eventualmente sottratte.
Quello che si vede analizzando la struttura del phishing e' anche come si sia cercato di mascherare la sequenza di links al form clone attraverso il servizio Internet SmartURL che permette di assegnare una short url ad una qualsiasi url scelta.

Ecco i dettagli:

Questa la mail dal layout molto curato e scritta in buon italiano (il destinatario mail appare anche nell'oggetto)


L'header mail mostra IP


appartenente ad hoster IT che rivedremo presente anche per il sito compromesso che ospita il codice PHP di invio al phisher delle credenziali inserite nel form fake.

Il link in mail e' del tutto particolare ed utilizza, come gia' detto, SmartURL.
SmartURL permette la creazione di una short url (scelta con nome ingannevole) che punta ad un indirizzo web piu' complesso e chiaramente che ha poco a che fare, nel nome, ad un  bonus di inizio anno.
Nel caso attuale vediamo, sul sito di SmartURL, l'indirizzo completo a cui fa riferimento la short URL ma anche alcuni particolari sull'uso del link creato come il numero utilizzi dello short link e la provenienza di chi lo ha usato.


Al momento non parrebbero essere ancora molti i 'visitatori' del sito che propone il form di phishing, probabilmente anche perche' si tratta di phishing recente.

Come si nota dallo screenshot SmartUURL, la short url punta a questo sito compromesso su server NL (sito sviluppato in Joomla)


che propone in maniera automatica un file ZIP


contenente il form PosteIT


Detto form usa un codice PHP


 hostato su sito compromesso IT (sviluppato anche questo in Joomla)


e con IP


Si tratta di IP identificato come appartenente al medesimo hoster individuato nell'header della mail di phishing.

Edgar

Nessun commento: