Edgar Bangkok
24-04-2009, 04:20
Ricevuta mail di phishing particolare che evidenzia un probabile utilizzo di tecnica FastFlux per promuovere l'azione di spam con phishing ai danni di PosteIT
Questa la mail ricevuta che appare simile ad altre gia ricevute in passato
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/poste%20fastflux/mail.jpg
ma che analizzando il link proposto al sito di phishing dimostra una diversa attivita' rispetto alle consuete mails di phishing
Questo il log della connessione al sito di phishing
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/poste%20fastflux/logconn.jpg
che ci mostra un primo redirect che appare gia utilizzare la tipica tecnica fastflux che siamo abituati a vedere utilizzata dalle botnet.
Questo un report eseguito con script Autoit che mostra i diversi IP a cui si viene collegati
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/poste%20fastflux/ipscanprimoredirect.jpg
e questo un dettaglio degli ip coinvolti
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/poste%20fastflux/staprimoredirect.jpg
Una volta rediretti sul sito di phishing possiamo vedere che anche questo presenta stesse caratteristiche di tecnica fast-flux
Ecco un Nslookup
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/poste%20fastflux/postenslookup2009-04-24_084307.jpg
con in evidenza il TTL di 3 minuti tipico di uso fastflux e questo il report Autoit degli IP coinvolti
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/poste%20fastflux/reportwhoisautoit.jpg
con un dettaglio della provenienza
(report sul blog)
Come si vede un sito che utilizza tecniche piu' evolute ( probabile uso di computers compromessi apparteneti a Botnet) rispetto ai normali siti di phishing che si limitano al massimo ad un redirect per nascondere la loro reale provenienza.
Edgar :D
fonte: http://edetools.blogspot.com/2009/04/phishing-posteit-su-fast-flux.html
Questa la mail ricevuta che appare simile ad altre gia ricevute in passato
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/poste%20fastflux/mail.jpg
ma che analizzando il link proposto al sito di phishing dimostra una diversa attivita' rispetto alle consuete mails di phishing
Questo il log della connessione al sito di phishing
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/poste%20fastflux/logconn.jpg
che ci mostra un primo redirect che appare gia utilizzare la tipica tecnica fastflux che siamo abituati a vedere utilizzata dalle botnet.
Questo un report eseguito con script Autoit che mostra i diversi IP a cui si viene collegati
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/poste%20fastflux/ipscanprimoredirect.jpg
e questo un dettaglio degli ip coinvolti
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/poste%20fastflux/staprimoredirect.jpg
Una volta rediretti sul sito di phishing possiamo vedere che anche questo presenta stesse caratteristiche di tecnica fast-flux
Ecco un Nslookup
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/poste%20fastflux/postenslookup2009-04-24_084307.jpg
con in evidenza il TTL di 3 minuti tipico di uso fastflux e questo il report Autoit degli IP coinvolti
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/poste%20fastflux/reportwhoisautoit.jpg
con un dettaglio della provenienza
(report sul blog)
Come si vede un sito che utilizza tecniche piu' evolute ( probabile uso di computers compromessi apparteneti a Botnet) rispetto ai normali siti di phishing che si limitano al massimo ad un redirect per nascondere la loro reale provenienza.
Edgar :D
fonte: http://edetools.blogspot.com/2009/04/phishing-posteit-su-fast-flux.html