R-Team ancora su Banco Azzoaglio
gennaio 9th, 2012
Continua dal 5 di Gennaio l’attacco di R-Team al Banco Azzoaglio
come si nota nell’immagine soprastante le pagine clone sono state posizionate su due differenti domini in hosting su Yahoo. Sul primo dei quali il percorso dei file è stato modificato ben 7 volte.
Sul secondo dominio i file sono stati accessibili sino alle 21:30 circa di sabato 7 Gennaio.
Analizzando il primo dominio su Yahoo si evidenziava la presenza di altri due file di redirect, uno posizionato su un assetmanager russo
l’altro su un Ms Windows 2003 Small Business Server, identificato da un indirizzo ip, host già usato nei giorni scorsi contro altri istituti.
Come si è detto le pagine linkate da questi redirect non sono più state raggiungibili dalle 21:30 circa di sabato 7 Gennaio, quando harde3mscume.com è stato chiuso.
Stando ai file rinvenuti in rete questa mattina, oggi dovrebbe arrivare una nuova mail di attacco contenente il link ipertestuale ad un file di redirect gbn.php.pgif posizionato su un assetmanager vietnamita più volte usato in passato
Tale redirect conduce a pagine clone attualmente collocate in un sito dell’Azerbaijan
attraverso il solito assetmanager mal configurato
Il permanere del gruppo criminale su questo istituto lascerebbe ipotizzare che, nonostante le sue ridotte dimensioni e l’aver dotato parte dei clienti di token OTP, le liste di indirizzi mail di cui i criminali dispongono permettano loro di riuscire in ogni caso a far delle vittime.
Leave a Reply