Serverplan: un altro provider Italiano colpito da Phishing
Sempre più spesso rileviamo campagne di Phishing ai danni di provider Italiani, lo scorso Marzo vi riportavamo un attacco mirato a 4 provider Italiani. Recentemente abbiamo rilevato una nuova campagna fraudolenta ai danni di Serverplan, altro noto provider Italiano partner di cPanel & WHM per l’erogazione dei servizi in Hosting.
I Phisher hanno per l’appunto clonato la pagina di login della WebMail di cPanel, nonostante non siano presenti loghi o marchi di Serverplan nella pagina di Phishing si desume che l’attacco è rivolto ai loro clienti dall’url che incorpora la sottocartella denominata “serverplan” ed inoltre testando l’inserimento di credenziali il form richiama tramite chiamata POST il file “lanciola.php” che, dopo aver ricevuto e gestito le credenziali, effettua un redirect al sito https://www.serverplan.com.
Di seguito un estratto del comando curl sullo script PHP che ha il compito di ricevere le credenziali e reindirizzare la vittima sul sito ufficiale
$ curl -Iv http://watchmanreports[.]com/serverplan/lanciola.php
* Hostname was NOT found in DNS cache
* Trying 184.154.216.242…
* Connected to watchmanreports[.]com (184.154.216.242) port 80 (#0)
> HEAD /serverplan/lanciola.php HTTP/1.1
> User-Agent: curl/7.35.0
> Host: watchmanreports[.]com
> Accept: */*
>
< HTTP/1.1 302 Moved Temporarily
HTTP/1.1 302 Moved Temporarily
* Server nginx is not blacklisted
< Server: nginx
Server: nginx
< Date: Wed, 12 Jul 2017 09:54:12 GMT
Date: Wed, 12 Jul 2017 09:54:12 GMT
< Content-Type: text/html
Content-Type: text/html
< Content-Length: 0
Content-Length: 0
< Connection: keep-alive
Connection: keep-alive
< X-Powered-By: PHP/5.4.45
X-Powered-By: PHP/5.4.45
< Location: https://www.serverplan.com
Location: https://www.serverplan.com
< X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; mode=block
< X-Content-Type-Options: nosniff
X-Content-Type-Options: nosniff
< X-Nginx-Cache-Status: MISS
X-Nginx-Cache-Status: MISS<
* Connection #0 to host watchmanreports[.]com left intact
Acquisite le credenziali delle caselle eMail i Phisher oltre ad accedere ad eventuali dati sensibili contenuti nella casella di posta elettronica, possono estrapolare nuovi contatti ed inviare messaggi fraudolenti.
Invitiamo gli utenti alla massima attenzione.