Phishing pasquale per Banca Popolare di Milano

Non esistono vacanze per i criminali che nella domenica di Pasqua hanno portato un nuovo attacco di phishing a danno dei clienti di Banca Popolare di Milano.

La mail di attacco

 

partita da host russi

 

 

presenta le seguenti caratteristiche:

mittente visualizzato: “Banco Popolare di Milano S.p.A”<[email protected]>

oggetto: Sicurezza e Protezione dalla Banco Popolare di Milano 

corpo del messaggio (plain text):

————————————————————-

Per ragioni di Sicurezza e Protezione,

e per il miglioramento del nostro servizio и necessario confermare il tuo conto.

Per questo, и necessario scaricare e compilare modulo allegato.

Banca Popolare di Milano Societа Cooperativa a r.l. Piazza F. Meda, 4 – 20121 Milano – tel. 02 77001 – P.IVA 00715120150

Iscrizione al Registro IVASS (1 febbraio 2007 n° D000027015) – Gruppo Bipiemme. Tutti i diritti riservati.

 YOQMIJRVIGPSKKIKGOIGFXDIVRHTUQCRWSFXGL

————————————————————-

come si può notare la terza riga contiene il carattere и quale errata codifica della “è”.

Come indicato nel testo della mail la stessa portava con se un allegato , costituito dal file  “Banco Popolare Di Milano DOCUMENTO.Html” che aperto in locale presentava a browser la pagina riprodotta nell’illustrazione sottostante.

 

 

Il documento presentava la parte relativa al tag FORM offuscata. La trasposizione in chiaro evidenziava come le credenziali 

 

 

venissero inviate ad un web server su ip cinese basato su Red Hat.

I nomi di file e directory utilizzati, nonché il template della mail, lasciano presumere l’attacco sia riconducibile agli autori delle recenti aggressioni a InBank ed Monte Paschi Siena.