Hardware Upgrade Forum - View Single Post

Edgar Bangkok · 24-07-2009, 07:06

venerdì 24 luglio 2009

Si tratta di un sito di phishing attualmente attivo, segnalatomi da Filoutage, ai danni di Intesa San Paolo che analizziamo in dettaglio per quanto si riferisce agli IP coinvolti

Questa la pagina di phishing
(img sul blog)
che, come si vede dallo screenshot, mostra la lunga sequenza di IP coinvolti nella sua distribuzione.

Per quanto si riferisce ad una analisi del sorgente del sito di phishing possiamo evidenziare la presenza di un link a sito di statistiche di accesso,
(img sul blog)
che non appare sul source dell'originale sito della banca.

Ed ecco i risultati di un Nslookup sull'indirizzo web del sito di phishing
(img sul blog)
Come si nota abbiamo un TTL time molto ridotto tipico dell'uso di FastFlux su probabile botnet di pc compromessi.

Il tutto viene confermato da una analisi attraverso un script Autoit che esegue un whois ciclico sull'indirizzo web che appare nella URL

e che ci mostra il continuo variare in tempi brevi dell'IP coinvolto nella distribuzione del phishing.

Questo invece un parziale report degli IP coinvolti ordinati per nazione:

dove ancora una volta spiccano sia paesi dell'Est Europa che gli USA con in particolare lo stato del New Jersey, che compare sempre ai primi posti ad esempio anche nei report relativi a Waledac botnet.

Edgar

fonte: http://edetools.blogspot.com/2009/07...-fastflux.html

24-07-2009, 07:06	#1
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Phishing Intesa su FastFlux venerdì 24 luglio 2009 Si tratta di un sito di phishing attualmente attivo, segnalatomi da Filoutage, ai danni di Intesa San Paolo che analizziamo in dettaglio per quanto si riferisce agli IP coinvolti Questa la pagina di phishing (img sul blog) che, come si vede dallo screenshot, mostra la lunga sequenza di IP coinvolti nella sua distribuzione. Per quanto si riferisce ad una analisi del sorgente del sito di phishing possiamo evidenziare la presenza di un link a sito di statistiche di accesso, (img sul blog) che non appare sul source dell'originale sito della banca. Ed ecco i risultati di un Nslookup sull'indirizzo web del sito di phishing (img sul blog) Come si nota abbiamo un TTL time molto ridotto tipico dell'uso di FastFlux su probabile botnet di pc compromessi. Il tutto viene confermato da una analisi attraverso un script Autoit che esegue un whois ciclico sull'indirizzo web che appare nella URL e che ci mostra il continuo variare in tempi brevi dell'IP coinvolto nella distribuzione del phishing. Questo invece un parziale report degli IP coinvolti ordinati per nazione: dove ancora una volta spiccano sia paesi dell'Est Europa che gli USA con in particolare lo stato del New Jersey, che compare sempre ai primi posti ad esempio anche nei report relativi a Waledac botnet. *Edgar* fonte: http://edetools.blogspot.com/2009/07...-fastflux.html __________________ http://edetools.blogspot.com/ Ultima modifica di Edgar Bangkok : 24-07-2009 alle 07:12.