martedì 22 aprile 2014

Inclusione su sito comunale di contenuti di pharmacy e links a siti di vendita di medicinali (21 aprile)

Si tratta di un notevole caso che vede attualmente linkate da ricerca in rete decine di pagine con riferimenti a pharmacy e link a sito di vendita online di medicinali, il tutto su singolo sito comunale .IT compromesso.

Questo un whois del sito


Qui vediamo una delle pagine 


la cui url appare nei risultati di ricerca Google


Si tratta, nel dettaglio, di contenuti in lingua italiana che trattano di viagra e derivati con presenza anche di links ad altre pagine simili sempre sul sito comunale compromesso, e con testo correttamente formattato quasi si trattasse di reale e legittimo contenuto:


Nella parte bassa della pagina si nota un iframe con script che redirige in maniera automatica a sito di pharmacy:


In pratica chi cliccasse su uno dei link proposti da Google nei risultati di ricerca vedrebbe solo per pochi secondi al pagina proposta dal sito comunale per essere poi rediretto al sito di pharmacy.


Questo breve filmato mostra un dettaglio di quanto accade:

video

Collegati alla presenza di queste pagine comunali linkate dai motori di ricerca sono le decine di links che appaiono su siti esteri sempre con  riferimento alle stesse pagine comunali linkate da Google.


Una ricerca mostra ad esempio molti siti, in questo caso .RU con linksi sempre al sito comunale di cui sopra.

Lo scopo e' sempre quello di diffondere il piu' possibile in rete links a pagine, su siti quasi sempre compromessi, che a loro volta attuano un redirect al sito finale di pharmacy ed il tutto naturalmente a costo nullo per chi gestisce la vendita online di farmaci.

Edgar

sabato 19 aprile 2014

Virus Alert! from 'Tiscali Mail Admin'. Fake mail allo scopo di sottrarre credenziali di login ad utenti Tiscali Mail.

Non e' una novita' il tentativo di sottrarre credenziali di accesso a webmail gestita da Tiscali come ad esempio spiegato in questo vecchio post del 2011.
Le mails odierne sono in lingua inglese e presentano un testo che informa di accessi alla nostra mailbox da una diversa localita' rispetto alla nostra abituale da cui accediamo alla rete.


Come sempre si potra' bloccare le visite fraudolente al nostro account loggandosi attraverso il form proposto nel link in mail.
Da notare come l'oggetto mail porti invece il testo 'virus alert'

Gli  headers mail presentano IP


tra cui 2 argentini che coincidono anche con il dominio usato per indicare la mail del mittente (.AR)
Il link punta a questo fake form Tiscali 


con la presenza di logo Tiscali simile a quello originale.
Il form e' hostato su  webs.com


cosa che permette la creazione di url ingannevole con incluso il nome Tiscali.

Il form effettua solo un piccolo controllo sulla presenza o no dei dati ma ad esempio la verifica della password non e' implementata, accettando il campo di conferma, qualsiasi stringa casuale di caratteri.
Da notare poi come il testo del campo utente sia in italiano “nome utente' mentre la password veda testo errato come “Confirm Paswold “

Una volta confermati i dati viene linkata a questa pagina che mostra


Edgar

giovedì 17 aprile 2014

Ancora malware per utenti IT della rete (16 - 17 aprile)

Nuovamente una distribuzione malware 'dedicata' ad utenti IT della rete e che viene attuata tramite il consueto messaggio mail con link a malware.

Il caso odierno vede questa mail, dal testo molto semplice


e che vorrebbe far credere che e' disponibile una risposta ad una nostra domanda fatta su un non meglio identificato forum.
Da notare come si inviti a scaricare il file presentando in messaggio mail un indirizzo che appare non cliccabile (quindi copia e incolla da parte di chi avesse ricevuto la mail e volesse seguirne le indicazioni)
Una analisi degli headers mail mostra un buon numero di IP di riferimento per il 'percorso' seguito dal messaggio.


Il file ZIP contenente il codice malevolo e' hostato su sito IT probabilmente compromesso


con whois


Si tratta di file ZIP dove vediamo ritornare l'utilizzo della tecnica del nome di file con lunga sequenza di _ (caratteri underscore) allo scopo di mascherare la reale estensione del file (eseguibile EXE).

In pratica l'utente che apre lo zip vede


mentre il file e'     


con estensione .EXE

Una analisi VT  mostra come sempre basso riconoscimento nelle prime fasi della 'distribuzione' malware


VT mostra data e time recente quale statistica delle analisi malware riferite al file ZIP


Edgar