Edgar Bangkok
24-07-2009, 07:06
venerd́ 24 luglio 2009
Si tratta di un sito di phishing attualmente attivo, segnalatomi da Filoutage, ai danni di Intesa San Paolo che analizziamo in dettaglio per quanto si riferisce agli IP coinvolti
Questa la pagina di phishing
(img sul blog)
che, come si vede dallo screenshot, mostra la lunga sequenza di IP coinvolti nella sua distribuzione.
Per quanto si riferisce ad una analisi del sorgente del sito di phishing possiamo evidenziare la presenza di un link a sito di statistiche di accesso,
(img sul blog)
che non appare sul source dell'originale sito della banca.
Ed ecco i risultati di un Nslookup sull'indirizzo web del sito di phishing
(img sul blog)
Come si nota abbiamo un TTL time molto ridotto tipico dell'uso di FastFlux su probabile botnet di pc compromessi.
Il tutto viene confermato da una analisi attraverso un script Autoit che esegue un whois ciclico sull'indirizzo web che appare nella URL
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/intesa%20fastflux%2024%207%2009/2whoisreportciclicoparz.jpg
e che ci mostra il continuo variare in tempi brevi dell'IP coinvolto nella distribuzione del phishing.
Questo invece un parziale report degli IP coinvolti ordinati per nazione:
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/intesa%20fastflux%2024%207%2009/2intesacountriesipfflux.jpg
dove ancora una volta spiccano sia paesi dell'Est Europa che gli USA con in particolare lo stato del New Jersey, che compare sempre ai primi posti ad esempio anche nei report relativi a Waledac botnet.
Edgar :D
fonte: http://edetools.blogspot.com/2009/07/phishing-intesa-su-fastflux.html
Si tratta di un sito di phishing attualmente attivo, segnalatomi da Filoutage, ai danni di Intesa San Paolo che analizziamo in dettaglio per quanto si riferisce agli IP coinvolti
Questa la pagina di phishing
(img sul blog)
che, come si vede dallo screenshot, mostra la lunga sequenza di IP coinvolti nella sua distribuzione.
Per quanto si riferisce ad una analisi del sorgente del sito di phishing possiamo evidenziare la presenza di un link a sito di statistiche di accesso,
(img sul blog)
che non appare sul source dell'originale sito della banca.
Ed ecco i risultati di un Nslookup sull'indirizzo web del sito di phishing
(img sul blog)
Come si nota abbiamo un TTL time molto ridotto tipico dell'uso di FastFlux su probabile botnet di pc compromessi.
Il tutto viene confermato da una analisi attraverso un script Autoit che esegue un whois ciclico sull'indirizzo web che appare nella URL
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/intesa%20fastflux%2024%207%2009/2whoisreportciclicoparz.jpg
e che ci mostra il continuo variare in tempi brevi dell'IP coinvolto nella distribuzione del phishing.
Questo invece un parziale report degli IP coinvolti ordinati per nazione:
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/intesa%20fastflux%2024%207%2009/2intesacountriesipfflux.jpg
dove ancora una volta spiccano sia paesi dell'Est Europa che gli USA con in particolare lo stato del New Jersey, che compare sempre ai primi posti ad esempio anche nei report relativi a Waledac botnet.
Edgar :D
fonte: http://edetools.blogspot.com/2009/07/phishing-intesa-su-fastflux.html