Cambio di rotta, la bussola torna a puntare a nord est (Sparkasse)
gennaio 25th, 2012
Nella mattinata odierna si è avuto un attacco di phishing a Banca Valsabbina.
La mail di attacco era già stata individuata ieri sera poco prima la mezzanotte (special thank’s allo spacciatore abituale e ad Edgar).
Il monitoraggio svolto con Fraud Page Traker ha mostrato come in poche ore
l’istituto bresciano sia riuscito a far oscurare 3 domini, ospitanti 5 differenti cloni due dei quali su Altervista celermente intervenuta.
Alle 11.00 odierne il file di redirect non esisteva più, così come il clone. Se consideriamo che il momento di maggior rischio per gli utenti è nell’orario lavorativo, lo dimostra la quasi totale assenza di attacchi durante il week-end, si può osservare come in sole tre ore (08:00-11:00) i phisher abbiano avuto poche possibilità.
Possiamo notare sia dalla mail che dall’immagine soprastante, come il redirect fosse posizionato in un sito di una società britannica individuato dal solo indirizzo ip 213.xxx.yyy.120. tristemente l’esplorazione dei molti folder esplorabili consentiva di individuare un back-up del data base mysql da oltre 130 MB, contenente le credenziali, nonchè una quantità enorme di indirizzi mail, senza contare la moltitudine di curriculum-vitae.
Ma dalle ore undici in poi cos’hanno fatto i criminali? Si son dati per vinti?
No, hanno cambiato rotta, obbiettivo, tornando a colpire Sparkasse, la Cassa di Risparmio di Bolzano, per altro colpita con il precedente attacco sino a ieri.
La mail odierna di attacco a Sparkasse, come si può notare dall’immagine sottostante,
riporta un link ad un file posizionato sul medesimo sito britannico usato nelle prima ore della mattina per l’attacco a banca Valsabbina ed è stata spedita alle ore 12:22 (gmt +1, ora italiana), quindi dopo circa un’ora e mezza dal termine del precedente attacco.
In questo caso il criminale, vistosi respingere, anziché cercare/creare nuovi domini in cui inserire le pagine fraudolente ha preferito cambiare target.
In questo nuovo attacco all’istituto del nord est il criminale non ha utilizzato un redirect, ma ha linkato direttamente le pagine clone
l’ora di creazione riportata nella “index of” non deve trarre in inganno
infatti dumpando gli header del server ospitante le pagine fraudolente e confrontandole con l’ora di sistema sincronizzata con il server NTP, ci accorgiamo che il server è fuori sincronia, è anzi in ritardo di due ore rispetto all’ora italiana e di una rispetto a GMT/UTC sebbene apparentemente sia impostato su di essa. Abbiamo un ritado di 133 minuti (2 ore 13 minuti) che se addizioniamo all’ora indicata nel listato della directory ci porta all’ora di invio della mail.
Osservando bene il listato della directory si può anche notare come manchino i file php che usualmente gestiscono le credenziali inviate dal form. Osservando il codice delle pagine si scopre che la destinazione del form è su un altro server!
Eccoli qui: login.php e run.php
caricati attraverso il solito assetmanager
Non ho la certezza si tratti di R-Team sebbene parte delle procedure, come pure i target siano i soliti di tale gruppo.
2 Responses to “Cambio di rotta, la bussola torna a puntare a nord est (Sparkasse)”
1Lazza
gennaio 26th, 2012 @ 09:51
Ma sbaglio o il ritardo della data nel terminale è di 3 anni? O mi sfugge qualcosa? Non capisco come mai ci sia una data con il 2012 e l’altra col 2009…
2admin
gennaio 26th, 2012 @ 10:05
no, non sbagli, il server su cui ci sono le pagine è “totalmente” fuori sincronia rispetto a ntp, ma della data mi curavo poco in questo caso essendo il mio interesse più rivolto ad un discorso di ore e minuti
Leave a Reply