Nella giornata odierna il monitoraggio D3Lab ha permesso di rilevare un nuovo tentativo di frode a danno dei clienti del portale di prenotazione alberghiere Expedia, phishing mirato principalmente a colpire gli albergatori collegati al portale.
Si tratta in realtà del sesto attacco registrato da D3Lab dall’inizio del 2014. Attacchi identici erano stati rilevati nel 2013, anno nel quale i phisher avevano colpito anche gli iscritti al portale Venere.com.
L’esame delle directory esplorabili evidenziava immediatamente la presenza di un file php che si rivelava essere una shell
remota nsTView v.2.1 protetta da login.
Questo fattore andava ad aggiungersi a altri indizi che permettevano di correlare l’attacco appena rilevata a recenti tentativi di frode attuati a danno di Banca Popolare dell’Emilia Romagna, nel corso dei quali era stata individuata la medesima tipologia di shell, sempre in un file php con l’identico nome.
Gli attacchi a BPER si erano dimostrati ben articolati, con l’url di attacco, il link presente nella mail, avente funzione di redirect, portando le vittime verso la pagina clone posizionata in un secondo sito compromesso, dall’esame del cui codice si rilevava l’invio delle credenziali raccolte nel form ad un terzo sito violato.
Proprio esaminando uno dei siti web nei quale erano state inoculate le pagine clone si rilevava la sostituzione dei file costituenti
il clone BPER con altri. Uno di questi era la shell remota nsTview già rilevata in precedenza, con identico nome,
mentre gli altri file provvedevano a visualizzare pagine clone atte a colpire i clienti di Poste Italiane, per carpirne i dati delle carte
di credito, nonché i clienti del Banco Popolare di Sondrio, con la finalità di comprometterne l’account di home banking
attraverso la richiesta di tutte le serie di password dispositive riportate sulla ScrignoCard.
Al termine della falsa procedura di autenticazione il codice delle pagina provvederà a riportare l’utente sulla legittima pagina di logout dell’home banking del Banco Popolare di Sondrio.
Per completezza si riporta come lo scorso febbraio il medesimo sito sia stato utilizzato dai criminali per posizionare pagine di phishing volte a colpire i clienti dell’istituto bancario Monte Parma.
Dei tre siti web citati nel presente post due sono cinesi ed uno giapponese.
Il caso Expedia trattato nel presente post permette di evidenziare come il monitoraggio continuativo e l’esame di tutti i casi di phishing rilevabili permetta di individuare un filo conduttore, costituito dall’utilizzo dei medesimi siti violati, dall’uso delle stesse vulnerabilità per accedere agli spazi di hosting, dalla predilezione per una specifica tipologia di shell, che permette di riconoscere la mano comune e quindi di addebitare ad un medesimo gruppo criminale la paternità di un certo numero di attacchi di phishing.
Tale evidenza palesa la dinamicità dei gruppi criminali capaci operare in un breve periodo a danno di svariati enti target.