Torna il Phishing TotalErg… la schizzofrenia del Recorder Team!

clone totalerg

Del Recoder Team si è molto parlato nelle ultime settimane, quando a seguito di operazioni congiunte di Polizia di Stato (con la specialità della Polizia Postale) e Guardia di Finanza [ articolo 1, articolo 2, articolo 3] e successivamente dei Carabinieri di Carpi diversi appartenenti all’organizzazione sono caduti nelle reti degli investigatori.

Su questo blog e sul profilo Twitter di D3Lab abbiamo nel frattempo continuato a dare evidenza della della loro attività a danno di ING/Agip Eni, Mediaworld, BNL (tweet1, tweet2), segno evidente che la divisione tecnica e gestionale del team criminale è rimasta operativa.

D3Lab assegna a Recorder Team la paternità di una lunga serie di attacchi, dai telefonici, a Carrefour, Agip/Eni, Total Erg fino ai più recenti attraverso un lungo lavoro di analisi delle metodiche operative, dell’utilizzo dei domini creati ad hoc e della struttura dei cloni.

Monitorando alcuni domini creati dai criminali nella giornata di ieri si è rilevata un’attività schizofrenica da parte del Recorder Team che ha coinvolto due domini:

dominio|data registrazione|nome registrante|indirizzo mail registrante

mediaworldfree.info|2017-03-25|Gianfranco Antonuccio|[email protected]

mediaworldfree.net|2017-03-25|Gianfranco Antonuccio|[email protected]

Alle ore 06.07 UTC  mediaworldfree.info redirigeva su mediaworldfree.net dove era possibile visionare su clone ING Direct

 

acquisizione clone ING

Il clone è rimasto disponibile solo pochi minuti.

Alle 06:44 UTC il dominio effettuava un redirect verso la sottocartella, inesistente, /TelecomItaliaTelefoniaMobile2016/.

Alle 8:47 UTC il dominio effettuava un redirect verso totalergonlinepetrolinet[.]serversicuro.it dove non era disponibile alcuna pagina.

Alle ore 14.35 UTC  mediaworldfree.info redirigeva su mediaworldfree.net dove era possibile visionare su clone CartaSì:

 

Acquisizione clone cartasi

Questa notte nuova svolta!

Alle  00:18 UTC, poco dopo mezzanotte ora di Greenwich mediaworldfree.info redirigeva su mediaworldfree.net dove era possibile visionare su clone TotalErg, clone tutt’ora disponibile.

clone totalerg

acquisizione redirect

 

acquisizione clone Total Erg

 

Il recorder Team torna a colpire Total Erg a distanza di due anni: dall’agosto 2014 alla fine di dicembre i criminali portarono avanti una intensa campagna di phishing veicolato attraverso sms, assurta agli onori della cronaca con servizi televisivi anche in casa RAI. Avevamo scritto due articoli disponibili sempre sul nostro blog: Primo Articolo e Secondo Articolo.

Particolarmente interessante è il dettaglio del codice html della pagina clone sopra evidenziato in viola, che evidenzia come la copia del sito sia stata realizzata il 19 Agosto 2014 alle ore 17:46 e 16 secondi, usando il software  HTTrack.

Particolare che rileviamo (vedasi immagine sottostante) anche nei file acquisiti dal phishig TotalErg del 2014, ad essere precisi del 25 dicembre 2014…in D3Lab si lavora anche a Natale!!

Battuta a parte, l’evidenza palesa come la paternità dell’attuale clone TotalErg sia imputabile al medesimo gruppo criminale che operò già all’epoca.

acquisizione di un phishing TotalErg del dicembre 2014

L’hash differente è dovuto al differente termine riga, come evidenziato da meld.

differenze tra i file