[NEWS] Pishing UBI banca + R57

[Edgar Bangkok]

16 giugno 2008

Non capita molto spesso che chi attiva un sito di phishing renda disponibile anche il probabile strumento utilizzato per crearlo sul sito attaccato, ma questa volta e' successo.

La mail di phishing ricevuta questa volta ai danni del Gruppo Bancario UBI riporta un messaggio leggermente diverso dai soliti.
(img sul blog)
Infatti si invita chi la riceve ad effettuare un login sul suo account UBI per eseguire un backup di documenti personali in quanto il sito verrebbe chiuso.

Il link presente punta link a sito russo
(img sul blog)
che al suo interno contiene, questa volta, uno script

che renindirizza al sito di phishing registrato su dominio .AR (Argentina) ma hostato su server USA e che tratta di allevamento di cani.
Questa la homepage:
(img sul blog)

Una analisi del folder che contiene il sito di phishing mostra alcune cartelle tra cui quella che contiene i dati riferiti alla falsa pagina QUI UBI che vediamo in dettaglio
(img sul blog)
ed un'altro folder che attira l'attenzione in quanto privo di nome

Una volta aperto questo folder ne contiene un altro simile che a sua volta mostra questo contenuto
(img sul blog)
Il file captcha.php in realta' non ha niente a che fare con il sistema utilizzato per filtrare il login di accesso ma e' invece il codice php di una shell di comandi e precisamente la R57 nella versione 1.3.
(img sul blog)
Questa shell di comandi permette di accedere ai dati contenuti nel sito da remoto ed eseguire varie operazioni sui folders e sui files presenti.
Probabilmente, in questo caso la R57 e' stata utilizzata per caricare il sito di phishing all'interno del sito .AR e potrebbe anche essere usata in seguito per acquisire eventuali files generati dal phishing e contenenti i codici personali di chi e' caduto nel tranello del falso sito.

Edgar

fonte: http://edetools.blogspot.com/