Torna il Phishing TotalErg… la schizzofrenia del Recorder Team!
Del Recoder Team si è molto parlato nelle ultime settimane, quando a seguito di operazioni congiunte di Polizia di Stato (con la specialità della Polizia Postale) e Guardia di Finanza [ articolo 1, articolo 2, articolo 3] e successivamente dei Carabinieri di Carpi diversi appartenenti all’organizzazione sono caduti nelle reti degli investigatori.
Su questo blog e sul profilo Twitter di D3Lab abbiamo nel frattempo continuato a dare evidenza della della loro attività a danno di ING/Agip Eni, Mediaworld, BNL (tweet1, tweet2), segno evidente che la divisione tecnica e gestionale del team criminale è rimasta operativa.
#phishing ai danni dei clienti BNL con dominio bnlclienti[DOT]com creato dai criminali, attivo da ieri. @BNLPeople @FrancesChiurco pic.twitter.com/FkDzF5LNIg
— D3Lab (@D3LabIT) March 15, 2017
D3Lab assegna a Recorder Team la paternità di una lunga serie di attacchi, dai telefonici, a Carrefour, Agip/Eni, Total Erg fino ai più recenti attraverso un lungo lavoro di analisi delle metodiche operative, dell’utilizzo dei domini creati ad hoc e della struttura dei cloni.
Monitorando alcuni domini creati dai criminali nella giornata di ieri si è rilevata un’attività schizofrenica da parte del Recorder Team che ha coinvolto due domini:
dominio|data registrazione|nome registrante|indirizzo mail registrante
mediaworldfree.info|2017-03-25|Gianfranco Antonuccio|[email protected]
mediaworldfree.net|2017-03-25|Gianfranco Antonuccio|[email protected]
Alle ore 06.07 UTC mediaworldfree.info redirigeva su mediaworldfree.net dove era possibile visionare su clone ING Direct
Il clone è rimasto disponibile solo pochi minuti.
Alle 06:44 UTC il dominio effettuava un redirect verso la sottocartella, inesistente, /TelecomItaliaTelefoniaMobile2016/.
Alle 8:47 UTC il dominio effettuava un redirect verso totalergonlinepetrolinet[.]serversicuro.it dove non era disponibile alcuna pagina.
Alle ore 14.35 UTC mediaworldfree.info redirigeva su mediaworldfree.net dove era possibile visionare su clone CartaSì:
Questa notte nuova svolta!
Alle 00:18 UTC, poco dopo mezzanotte ora di Greenwich mediaworldfree.info redirigeva su mediaworldfree.net dove era possibile visionare su clone TotalErg, clone tutt’ora disponibile.
Il recorder Team torna a colpire Total Erg a distanza di due anni: dall’agosto 2014 alla fine di dicembre i criminali portarono avanti una intensa campagna di phishing veicolato attraverso sms, assurta agli onori della cronaca con servizi televisivi anche in casa RAI. Avevamo scritto due articoli disponibili sempre sul nostro blog: Primo Articolo e Secondo Articolo.
Particolarmente interessante è il dettaglio del codice html della pagina clone sopra evidenziato in viola, che evidenzia come la copia del sito sia stata realizzata il 19 Agosto 2014 alle ore 17:46 e 16 secondi, usando il software HTTrack.
Particolare che rileviamo (vedasi immagine sottostante) anche nei file acquisiti dal phishig TotalErg del 2014, ad essere precisi del 25 dicembre 2014…in D3Lab si lavora anche a Natale!!
Battuta a parte, l’evidenza palesa come la paternità dell’attuale clone TotalErg sia imputabile al medesimo gruppo criminale che operò già all’epoca.
L’hash differente è dovuto al differente termine riga, come evidenziato da meld.