Dal DB segnalazioni del blog. Phishing CartaSi con uso di siti compromessi e Wildcard nella url di phishing (11 settembre)

Evidenziate sul db segnalazioni di questo blog, da un lettore che ringrazio, numerose urls di phishing CartaSi.
Si tratta di una decina di casi che, come vedremo hanno in comune la tecnica utilizzata per creare l’indirizzo di phishing.
Questa la segnalazione sul DB del blog
dove appare il lungo elenco di url che puntano a 2 differenti indirizzi web che si riferiscono ad hosting  di clone di phishing CartaSi.
Una scansione con script Autoit mostra che si tratta di phishing attivo su tutti gli indirizzi web segnalati (i due principali piu’ gli altri che sono in pratica dei  redirect particolari) 
Vediamo alcuni dettagli relativi anche agli IP che dimostra una possibile azione dei phishers a livello della gestione dei DNS dei siti coinvolti. :
Questo l elenco dei domini segnalati: 
dove notiamo subito che, dagli indirizzi IP evidenziati dal lettore, abbiamo 2 diversi gruppi, ognuno dei quali presenta evidenziato nello schema il relativo clone CartaSi su url costituita da differente indirizzo IP.
Esaminando gli IP ad esempio del primo gruppo possiamo notare come, ad una prima sommaria analisi, gli stessi siano tutti uguali, ma la cosa e’ ben diversa.
Ecco infatti che aprendo  nel browser uno dei siti coinvolti abbiamo 

ossia si nota come’ l’IP indicato dall’addon Firefox, non coincide con quello reale del dominio coinvolto
Notate come sulla homepage compaiano anche links che appaiono provenire quasi certamente da azione di hacking, cosa che dimostra ancora di piu’ la presenza di probabili vulnerabilita’ o comunque problemi sull’amministrazione del sito stesso.
Qui vediamo invece un breve report di alcuni dei siti coinvolti che si scopre, tre l ‘altro, essere tutti hostati sul medesimo servizio di hosting israeliano
Il fatto che i siti coinvolti nell’azione di phishing siano hostati in parte sul medesimo IP si puo’ spiegare con il fatto che i phishers potrebbero aver sfruttato qualche vulnerabilita’ comune ai differenti domini.
Tornando all’azione di phishing, i phishers hanno creato per tutti i siti coinvolti, un subdominio, 
ed hanno fatto puntare questo subdomino al clone CartaSi.
Da notare come il subdominio creato sia quello corrispondente alla stringa www1 con uno schema uguale per tutti e cioe’ www1.dominio_legittimo.….
In realta’ non e’ necessario che la stringa sia necessariamente www1 considerato che i phishers pare abbiano utilizzato wildcard nel nome dei subdomini, probabilmente potendo accedere all’amministrazione dei DNS.
Utilizzando la struttura della url con wildcard, qualunque sequenza di caratteri sara’ valida, come vediamo in questo esempio
dove il subdominio ‘pippo.‘ redirige sempre e comunque al clone CartaSi
Lo scopo di questa tecnica di redirect a clone attraverso l’uso di domini con wildcard e’ spiegabile con il fatto che normalmente esistono online servizi dedicati al contrasto del phishing che mantengono liste di indirizzi web da bloccare (con relativa messa in balcklist).
Servizi gestiti da Google, Microsoft, Phishtank attraverso OpenDNS, Firefox, solo per citarne alcuni, e che provvedono a segnalare e/o bloccare centinaia di pagine di phishing ogni giorno.
Creando sempre nuove urls attraverso l’utilizzo di nomi di subdominio appositamente generati, i phishers tentano a loro volta di evitare la messa in blacklist dei loro cloni.
L’uso per entrambi i phishing CartaSi della tecnica  dei subdomini con redirect a clone, farebbe pensare alla gestione da parte di un unico gruppo di phishers per entrambi gli indirizzi IP coinvolti.
Inoltre, eseguendo una analisi piu’ approfondita dei due cloni, si trova la presenza del medesimo KIT di phishing in formato .zip 
che rivela, tra l’altro un codice abbastanza complesso, con, ad esempio, una accurata gestione nel codice php per filtrare numerosi ranges IP.
Edgar

Ricordo che e’ sempre attivo il db del blog per segnalare eventuali mail di phishing ricevute e delle quali, nel limite del tempo disponibile, verranno dati alcuni dettagli sul blog nonche’ effettuata specifica segnalazione a chi si occupa del contrasto al phishing.