Cosa c'é oltre il phishing? L'analisi di Exploit

Di Davide Denicolo  

Ricevo spesso in casella attacchi di Phishing i quali, promuovendo una fantomatica ricarica ricevuta sul mio conto Bancoposta, mi invitano ad accedere all'indirizzo da loro citato.

Spinto dalla curiosità ho innanzitutto segnalato il tentativo di Phishing a Google Safe Browsing e successivamente, ho cominciato ad analizzare l'host per capire di più in merito a questo attacco.
Il sito incriminato http://65.111.164.97/~steve/ /online/login-home.php?TYPE=LogIn è hostato su un server Linux Debian di proprietà del provider americano Serverpronto.com.

La root principale http://65.111.164.97 consente il Listing Directory dove, tra le diverse cartelle intravedo un sistema di amministrazione mysql via php (phpmyadmin), un analizzatore di accessi web (webalizer) ed altre directory non meno interessanti. Accedendo infatti alla cartella ATM_orig si possono notare warning php mentre in basso sembrano esser stati caricati diversi rootkit ed una php-shell (c99.php); quest'ultima consente di comandare via web un server remoto; tutto questo mi lascia pensare che qualcuno abbia sfruttato un Remote File Include dell'applicazione web per iniettarci il file e aver accesso libero al sistema.

Mi dirigo nella home del phisher e noto che sono ben due i siti clonati: bancadiroma.it e Poste Italiane.
Dal sito riesco a recuperare un file.txt che l'applicazione web popola con le utenze inserite delle vittime: http://65.111.164.97/~steve/%20/online/user.txt. Per fortuna, come potete vedere, molti utenti si sono resi conto della truffa ma analizzando bene il file, esso sembre contenere alcuni account autentici; il phisher per qualche motivo ha preferito custodire anche la lista IP delle vittime http://65.111.164.97/~steve/%20/online/ip.txt; per il momento non son riuscito a recuperare il file con le password, ma vi farò sapere.