[NEWS] Ancora un sito di phishing ai danni di PosteIT (04/06)

[Edgar Bangkok]

giovedì 4 giugno 2009


Ecco una nuova dimostrazione dello stretto legame tra siti compromessi e phishing esaminando un nuovo indirizzo di phishing comunicatomi da Filoutage.

All'interno del sito colpito preso in esame, possiamo notare infatti alcune pagine
(img sul blog)
che ne confermano la compromissione e dove, tra l'altro, si nota del testo che indicherebbe anche la presenza di un malware distribuito insieme alla pagina di hacking.

In effetti , esaminando il sorgente, si nota del codice java offuscato
(img sul blog)
che deoffuscato punta a pagina, non online al momento, ma che potrebbe essere stata utilizzata in passato per linkare malware.

Sempre nel medesimo folder e' anche presente questo file zip che risulta essere l'ennesimo 'KIT' di phishing ai danni di PosteIT e di cui esaminiamo brevemente il contenuto.
(img sul blog)
Si tratta di una completa struttura di sito di phishing ai danni di PosteIT i cui files sembrano tutti molto datati (meta' 2007), il che farebbe pensare ad un vecchio tentativo di phishing ormai inattivo, ma esaminando meglio, si scopre che esiste un codice php con data molto recente.
(img sul blog)
Il file php contiene infatti tutto il necessario per l'invio automatico tramite @gmail dei dati personali ai gestori dell'azione di phishing e quindi dimostra che nonostante la creazione del sito sia parecchio datata, lo stesso potrebbe essere utilizzato attualmente.

A conferma di questo, all'interno del sito compromesso, si trovano folders con tutti i files necessari per gestire il falso sito di PosteIT
(img sul blog)
e del quale vediamo uno screenshot della pagina di login (notare, come gia' rilevato nel file zip, la vecchia data riportata in fondo pagina)
(img sul blog)

Edgar

fonte: http://edetools.blogspot.com/2009/06...-danni-di.html