La shell nascosta

Nella maggior parte dei casi di phishing si assiste all’inserimento delle pagine fraudolente, da parte dei criminali, in siti web di privati e società violati attraverso i modi più diversi.

Una volta guadagnato l’accesso allo spazio di hosting i criminali sono naturalmente interessati a mantenerlo ed a tal fine fanno spesso uso di shell php, tipo le note c99 o r57

immagine da honeynet.org

 

immagine da stopthehacker.com

 

ma ne esistono naturalmente di molto più complesse, con maggiori e più complete funzionalità.

Il cyber criminale ha naturalmente tutto l’interesse a non condividere l’accesso allo spazio di hosting conquistato, in particolare se la violazione non è avvenuta attraverso una vulnerabilità di facile individuazione, tenterà così di celare la propria shell e di proteggerla con l’uso di una password.

Durante l’analisi di uno dei siti web contenenti pagine di phishing, uno dei plugin/estensioni del browser utilizzato come password manager ha svelato la presenza del box di login ad una shell camuffata da pagina di errore 404.

Alla richiesta di una pagina inesistente, la pagina di errore restituita presentava nel mezzo dello spazio bianco il tipico asterisco con cui l’estensione password manager del browser permette di accedere alle opzioni di completamento dei box di input. 

 

Esaminando il codice della pagina si ha conferma della presenza del box di input destinato ad accogliere la password e della modalità banale con cui è stato reso non visibile.

 

Il sito in questione è basato su un noto cms. Ricercando la pagina 404.php relativa al tema grafico in uso si ottiene qualche informazione in più

 

evidenziando nello specifico un errore alla linea 2267 …davvero troppe per il sorgente di una pagina 404.

Se l’estensione password manager non fosse stata attiva, come nello screenshot sottostante, la presenza del box di login alla shell sarebbe passata inosservata.