sabato 13 settembre 2014

Messaggio di posta elettronica certificata (PEC) con allegato malware (13 settembre)

Ricevuta questa mail


con layout che parrebbe essere quello di mail PEC (Posta elettronica certificata).
Naturalmente l'oggetto dell'allegato fa subito pensare all'ennesima distribuzione di malware sotto forma di eseguibile contenuto in file .zip.

L'analisi degli headers mail mostra 


con entrambi gli IP su range italiano.
In particolare il primo IP parrebbe essere localizzato come


mentre il secondo confermerebbe che il messaggio mail e' transitato in relay.cert.legalmail.it, .


e quindi che si tratta di reale messaggio PEC 

Una ricerca del mittente mail presso il sito del 'Ministero dello Sviluppo Economico' https://www.inipec.gov.it/ conferma l'esistenza dell'indirizzo PEC utilizzato


,indirizzo mail che trova riscontro anche nella  ricerca sul sito dell'Ordine Professionale di appartenenza del mittente  


Questo l'allegato mail 


con l'eseguibile presente all'interno del file .ZIP e che VT vede come


con riconoscimento abbastanza basso da parte dei softwares antivirus


Naturalmente il fatto che il messaggio si presenti come mail PEC aggiunge una maggiore credibilita' ai contenuti allegati, cosa che potrebbe convincere chi lo riceve che si tratta di un autentico allegato di file immagine (foto.scr).

Per quanto riguarda il fatto che si sia usata una probabile legittima mail certificata per lo spam malware ci sono diverse possibilita'.
Sicuramente non e' da escludere il fatto che le credenziali di accesso alla mailbox PEC siano state acquisite attraverso azione fraudolenta di phishing (di falsi login di phishing a mailbox fake ne vediamo online a centinaia ogni giorno) e siano poi state utilizzate per l'invio dello spam malware.
Da notare come l'invio del messaggio risulti effettuato a 10 diversi indirizzi mail tra  cui quello di una mailbox del blog usata nell'analisi dello spam.

Tra l'altro la geo-localizzazione del primo IP utilizzato e visibile nell'header mail e' abbastanza  'distante' dal luogo del nord Italia dove parrebbe essere residente il mittente PEC e la sua attivita' professionale.

Edgar

giovedì 11 settembre 2014

Dal DB segnalazioni del blog. Phishing CartaSi con uso di siti compromessi e Wildcard nella url di phishing (11 settembre)

Evidenziate sul db segnalazioni di questo blog, da un lettore che ringrazio, numerose urls di phishing CartaSi.

Si tratta di una decina di casi che, come vedremo hanno in comune la tecnica utilizzata per creare l'indirizzo di phishing.

Questa la segnalazione sul DB del blog


dove appare il lungo elenco di url che puntano a 2 differenti indirizzi web che si riferiscono ad hosting  di clone di phishing CartaSi.


Una scansione con script Autoit mostra che si tratta di phishing attivo su tutti gli indirizzi web segnalati (i due principali piu' gli altri che sono in pratica dei  redirect particolari) 


Vediamo alcuni dettagli relativi anche agli IP che dimostra una possibile azione dei phishers a livello della gestione dei DNS dei siti coinvolti. :

Questo l elenco dei domini segnalati: 


dove notiamo subito che, dagli indirizzi IP evidenziati dal lettore, abbiamo 2 diversi gruppi, ognuno dei quali presenta evidenziato nello schema il relativo clone CartaSi su url costituita da differente indirizzo IP.
Esaminando gli IP ad esempio del primo gruppo possiamo notare come, ad una prima sommaria analisi, gli stessi siano tutti uguali, ma la cosa e' ben diversa.

Ecco infatti che aprendo  nel browser uno dei siti coinvolti abbiamo 


ossia si nota come' l'IP indicato dall'addon Firefox, non coincide con quello reale del dominio coinvolto


Notate come sulla homepage compaiano anche links che appaiono provenire quasi certamente da azione di hacking, cosa che dimostra ancora di piu' la presenza di probabili vulnerabilita' o comunque problemi sull'amministrazione del sito stesso.

Qui vediamo invece un breve report di alcuni dei siti coinvolti che si scopre, tre l 'altro, essere tutti hostati sul medesimo servizio di hosting israeliano


Il fatto che i siti coinvolti nell'azione di phishing siano hostati in parte sul medesimo IP si puo' spiegare con il fatto che i phishers potrebbero aver sfruttato qualche vulnerabilita' comune ai differenti domini.

Tornando all'azione di phishing, i phishers hanno creato per tutti i siti coinvolti, un subdominio, 


ed hanno fatto puntare questo subdomino al clone CartaSi.


Da notare come il subdominio creato sia quello corrispondente alla stringa www1 con uno schema uguale per tutti e cioe' www1.dominio_legittimo.....

In realta' non e' necessario che la stringa sia necessariamente www1 considerato che i phishers pare abbiano utilizzato wildcard nel nome dei subdomini, probabilmente potendo accedere all'amministrazione dei DNS.
Utilizzando la struttura della url con wildcard, qualunque sequenza di caratteri sara' valida, come vediamo in questo esempio


dove il subdominio 'pippo.' redirige sempre e comunque al clone CartaSi


Lo scopo di questa tecnica di redirect a clone attraverso l'uso di domini con wildcard e' spiegabile con il fatto che normalmente esistono online servizi dedicati al contrasto del phishing che mantengono liste di indirizzi web da bloccare (con relativa messa in balcklist).
Servizi gestiti da Google, Microsoft, Phishtank attraverso OpenDNS, Firefox, solo per citarne alcuni, e che provvedono a segnalare e/o bloccare centinaia di pagine di phishing ogni giorno.

Creando sempre nuove urls attraverso l'utilizzo di nomi di subdominio appositamente generati, i phishers tentano a loro volta di evitare la messa in blacklist dei loro cloni.

L'uso per entrambi i phishing CartaSi della tecnica  dei subdomini con redirect a clone, farebbe pensare alla gestione da parte di un unico gruppo di phishers per entrambi gli indirizzi IP coinvolti.

Inoltre, eseguendo una analisi piu' approfondita dei due cloni, si trova la presenza del medesimo KIT di phishing in formato .zip 


che rivela, tra l'altro un codice abbastanza complesso, con, ad esempio, una accurata gestione nel codice php per filtrare numerosi ranges IP.


Edgar

Ricordo che e' sempre attivo il db del blog per segnalare eventuali mail di phishing ricevute e delle quali, nel limite del tempo disponibile, verranno dati alcuni dettagli sul blog nonche' effettuata specifica segnalazione a chi si occupa del contrasto al phishing.

giovedì 4 settembre 2014

Siti di P.A. compromessi. Un caso di fake login multiplo a servizio webmail incluso in sito comunale IT (4 settembre)

Sempre molto diffuse in rete pagine, quasi sempre incluse su siti legittimi compromessi, che propongono  un falso login multiplo a diversi noti servizi di webmail.

Lo scopo e' quello di venire in possesso sia di un indirizzo mail valido che delle credenziali di accesso alla mailbox con tutte le conseguenze del caso.
Da notare anche che, sempre piu' spesso, lo stesso login alla mailbox permette, vedi esempio i servizi Google, di accedere a molti di quelli offerti e non solo alla mailbox.
Altro possibile problema e' che molti usano la stessa password per accedere alla mailbox ma anche a differenti servizi web aumentando cosi il pericolo che chi e' venuto in possesso delle credenziali di accesso alla mail possa anche usarle per altri login.

Questa la fake pagina di login webmail


dove notiamo i differenti loghi cliccabili che corrispondono ad altrettanti form di richiesta credenziali di accesso.


Una volta confermati i dati si viene rediretti su legittimo login Google


Le pagina di fake login e' inclusa all'interno di questo sito comunale IT di cui vediamo la homepage


con IP


Una analisi dei response headers della fake pagina di accesso ai servizi webmail mostra data recente per l'azione di inclusione dei contenuti di phishing.


Edgar