[NEWS] Anche per PosteIT phishing con FastFlux

Edgar Bangkok · 30-07-2009, 06:28

giovedì 30 luglio 2009

NB. Anche se alcuni links sono in chiaro usate attenzione nel visitare le pagine in quanto si tratta pur sempre di sito fastflux di probabile botnet che potrebbe anche cambiare contenuti passando da phishing a qualcosa di piu' pericoloso (exploit, ecc....).

Era gia' successo in questi ultimi giorni che alcuni siti di phishing utilizzassero ampiamente la tecnica FastFlux con variazione dell'IP del sito linkato per colpire ad esempio Banca Intesa San Paolo.(phishing ormai attivo da qualche giorno e con il sito

Codice:

 mltjd(dot)com

perfettamente raggiungibile anche questa mattina ).

E' di oggi la ricezione di una mail di phishing ai danni di poste IT
(img sul blog)
che sfrutta come primo redirect questo link a:

Codice:

sdrbl(dot)com

che utilizza fastflux come vediamo da questo whois ciclico eseguito sull'indirizzo web.

(report sul blog)

sdrbl(dot) com redirige poi su altro sito FastFlux e precisamente

Codice:

kaciae(dot).com

che attiva una connessione a StatCounter
(img sul blog)[/b]
e nel contempo carica il sito di phishing PosteIT
(img sul blog)
che dimostra anche un certo livello di verifica dei dai inseriti.
(img sul blog)[/b]

In pratica abbiamo quindi:

Una mail scritta in buon italiano, un sito di phishing che attua una verifica anche se parziale dei dati digitati (cosa poco comune in questo genere di pagine di login fasulle che di solito accettano qualunque testo digitato) e per finire, e questa e' la cosa piu' rilevante, un utilizzo doppio (sia nel redirect che nel sito finale) di fastFlux che potrebbe rendere praticamente impossibile una messa offline del phishing visto ora.

Come si vede si tratta di una azione ai danni di PosteIT certamente di rilievo rispetto al 'normale' phishing che propone siti che al massimo restano online un giorno o due.

Edgar

fonte: http://edetools.blogspot.com/2009/07...-fastflux.html

Edgar Bangkok · 31-07-2009, 05:05

NB. Anche se alcuni links sono in chiaro usate attenzione nel visitare le pagine in quanto si tratta pur sempre di siti fastflux di probabile botnet che potrebbe anche cambiare contenuti passando da phishing a qualcosa di piu' pericoloso (exploit, ecc....).

Sempre attivo il sito

Codice:

mltjd(dot)com

che propone link con redirect a pagina di phishing Intesa San Paolo sempre su fastflux:
(img sul blog)

Per quanto si riferisce a PosteIT si e' aggiunto questo nuovo indirizzo web

Codice:

katlna(dot)com

che come si puo' notare dallo screenshot utilizza sempre indirizzi IP multipli.
(img sul blog)

Edgar

fonte: http://edetools.blogspot.com/2009/07...g-su-siti.html

30-07-2009, 06:28	#1
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Anche per PosteIT phishing con FastFlux giovedì 30 luglio 2009 NB. Anche se alcuni links sono in chiaro usate attenzione nel visitare le pagine in quanto si tratta pur sempre di sito fastflux di probabile botnet che potrebbe anche cambiare contenuti passando da phishing a qualcosa di piu' pericoloso (exploit, ecc....). Era gia' successo in questi ultimi giorni che alcuni siti di phishing utilizzassero ampiamente la tecnica FastFlux con variazione dell'IP del sito linkato per colpire ad esempio Banca Intesa San Paolo.(phishing ormai attivo da qualche giorno e con il sito Codice: mltjd(dot)com perfettamente raggiungibile anche questa mattina ). E' di oggi la ricezione di una mail di phishing ai danni di poste IT (img sul blog) che sfrutta come primo redirect questo link a: Codice: sdrbl(dot)com che utilizza fastflux come vediamo da questo whois ciclico eseguito sull'indirizzo web. (report sul blog) sdrbl(dot) com redirige poi su altro sito FastFlux e precisamente Codice: kaciae(dot).com che attiva una connessione a StatCounter (img sul blog)[/b] e nel contempo carica il sito di phishing PosteIT (img sul blog) che dimostra anche un certo livello di verifica dei dai inseriti. (img sul blog)[/b] In pratica abbiamo quindi: Una mail scritta in buon italiano, un sito di phishing che attua una verifica anche se parziale dei dati digitati (cosa poco comune in questo genere di pagine di login fasulle che di solito accettano qualunque testo digitato) e per finire, e questa e' la cosa piu' rilevante, un utilizzo doppio (sia nel redirect che nel sito finale) di fastFlux che potrebbe rendere praticamente impossibile una messa offline del phishing visto ora. Come si vede si tratta di una azione ai danni di PosteIT certamente di rilievo rispetto al 'normale' phishing che propone siti che al massimo restano online un giorno o due. Edgar fonte: http://edetools.blogspot.com/2009/07...-fastflux.html __________________ http://edetools.blogspot.com/ Ultima modifica di Edgar Bangkok : 30-07-2009 alle 06:35.

31-07-2009, 05:05	#2
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Ancora attivo il phishing su siti FastFlux ai danni di Intesa SP e PosteIT NB. Anche se alcuni links sono in chiaro usate attenzione nel visitare le pagine in quanto si tratta pur sempre di siti fastflux di probabile botnet che potrebbe anche cambiare contenuti passando da phishing a qualcosa di piu' pericoloso (exploit, ecc....). Sempre attivo il sito Codice: mltjd(dot)com che propone link con redirect a pagina di phishing Intesa San Paolo sempre su fastflux: (img sul blog) Per quanto si riferisce a PosteIT si e' aggiunto questo nuovo indirizzo web Codice: katlna(dot)com che come si puo' notare dallo screenshot utilizza sempre indirizzi IP multipli. (img sul blog) *Edgar* fonte: http://edetools.blogspot.com/2009/07...g-su-siti.html __________________ http://edetools.blogspot.com/

Strumenti
Mostra una versione stampabile Invia questa pagina per email