Serverplan: un altro provider Italiano colpito da Phishing

Serverlplan_Phishing.png

 

Sempre più spesso rileviamo campagne di Phishing ai danni di provider Italiani, lo scorso Marzo vi riportavamo un attacco mirato a 4 provider Italiani. Recentemente abbiamo rilevato una nuova campagna fraudolenta ai danni di Serverplan, altro noto provider Italiano partner di cPanel & WHM per l’erogazione dei servizi in Hosting.

I Phisher hanno per l’appunto clonato la pagina di login della WebMail di cPanel, nonostante non siano presenti loghi o marchi di Serverplan nella pagina di Phishing si desume che l’attacco è rivolto ai loro clienti dall’url che incorpora la sottocartella denominata “serverplan” ed inoltre testando l’inserimento di credenziali il form richiama tramite chiamata POST il file “lanciola.php” che, dopo aver ricevuto e gestito le credenziali, effettua un redirect al sito https://www.serverplan.com.

Di seguito un estratto del comando curl sullo script PHP che ha il compito di ricevere le credenziali e reindirizzare la vittima sul sito ufficiale

$ curl -Iv http://watchmanreports[.]com/serverplan/lanciola.php
* Hostname was NOT found in DNS cache
* Trying 184.154.216.242…
* Connected to watchmanreports[.]com (184.154.216.242) port 80 (#0)
> HEAD /serverplan/lanciola.php HTTP/1.1
> User-Agent: curl/7.35.0
> Host: watchmanreports[.]com
> Accept: */*
>
< HTTP/1.1 302 Moved Temporarily
HTTP/1.1 302 Moved Temporarily
* Server nginx is not blacklisted
< Server: nginx
Server: nginx
< Date: Wed, 12 Jul 2017 09:54:12 GMT
Date: Wed, 12 Jul 2017 09:54:12 GMT
< Content-Type: text/html
Content-Type: text/html
< Content-Length: 0
Content-Length: 0
< Connection: keep-alive
Connection: keep-alive
< X-Powered-By: PHP/5.4.45
X-Powered-By: PHP/5.4.45
< Location: https://www.serverplan.com
Location: https://www.serverplan.com
< X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; mode=block
< X-Content-Type-Options: nosniff
X-Content-Type-Options: nosniff
< X-Nginx-Cache-Status: MISS
X-Nginx-Cache-Status: MISS

<
* Connection #0 to host watchmanreports[.]com left intact

Acquisite le credenziali delle caselle eMail i Phisher oltre ad accedere ad eventuali dati sensibili contenuti nella casella di posta elettronica, possono estrapolare nuovi contatti ed inviare messaggi fraudolenti.

Invitiamo gli utenti alla massima attenzione.

/da
Potrebbero interessarti
Un anno di Phishing. L’evoluzione delle Truffe Online in Italia nel 2024
Attenzione al nuovo portale fake di Fineco: la trappola scatta dopo il Captcha
Nuova ondata di phishing via mail a danno di Amazon IT
Phishing ai danni del Gruppo Hera
Campagna di Phishing ai danni di Trenitalia
mail fraudolentaPhishing Intesa SP 20160311 with sub-domains
Phishing Amazon veicolato tramite dominio ufficiale amazon.it!
pannello di gestione credenziali rubatePhishing: uso dell’OTP in real time a danno dei clienti Poste
D3Lab Srl unipersonale – P.IVA IT01865450496 – Italy – Phone: +3905861946434
Il Phisher invia le credenziali delle vittime tramite IRCPhishing ai danni di Casa.it