martedì 2 settembre 2014

Avviso: Prevenzione e contrasto dell'evasione. Una ingannevole mail che simula una comunicazione dell'Agenzia delle Entrate e che tenta di diffondere malware attraverso .doc con macro malevola. (02 settembre)

Non e' la prima volta che troviamo in rete phishing che sfrutta false mails che simulano messaggi che dovrebbero provenire dall'Agenzia delle Entrate. 
Di solito si tratta di fake mail che tentano di proporre  pagine con form per acquisire credenziali di carta di credito od altri dati sensibili.

Questa volta, invece, ci troviamo di fronte ad una tipica azione di diffusione malware che viene attuata sicuramente con grande cura nella sua implementazione anche se, come vedremo, non tutta l'azione malevola parrebbe avere la stessa cura nel tentare di ingannare chi ricevesse la fake mail.

Ecco alcuni dettagli:

Questa la mail 


con un testo in italiano corretto e sicuramente ingannevole e con un allegato file di testo .doc (word) che viene descritto nella mail come il testo contenente le “.Le Linee Guida fornite dall'Agenzia delle Entrate (in allegato). ….....”  e , di seguito riferimenti a “..per evitare di essere segnalato dal sistema come un soggetto “a rischio” dopo il primo controllo basato sul c.d. “redditometro”.
...”
Un primo dubbio in chi ricevesse la mail potrebbe essere il fatto che l'allegato non e' nel diffuso formato Adobe pdf , formato di solito utilizzato per distribuire documenti di testo attraverso la rete, ma si sia usato un file .doc Word.
Naturalmente la spiegazione e' che si utilizza la possibilita' di gestire macro comandi da  parte di Word (ed anche di softwares che comunque leggono il formato word), cioe' una serie di istruzioni che se eseguite tenteranno di scaricare ed eseguire sul pc di chi ha aperto il file, codice malevolo.

C'e' da notare come il testo del messaggio mail sia molto curato e presenti la tipica struttura dei testi ufficiali ma la spiegazione e' abbastanza semplice.
Qui vediamo una recente circolare datata 6 agosto e prodotta dall'Agenzia delle Entrate 


Si tratta di un testo in formato PDF che presenta, tra l'altro,  


che possiamo confrontare con il messaggio mail.


Si capisce come, col minimo sforzo, chi vuole distribuire il malware, abbia fatto un copia e incolla del  testo ufficiale, ottenendo un messaggio altamente ingannevole.

Come si vede il layout mail presenta anche il logo dell'Agenzia delle Entrate, che vien direttamente acquisito dal sito ufficiale.


La mail presenta inoltre headers 


Passando all'allegato .doc, che e' poi il veicolo del malware, abbiamo


dove in realta' troviamo solo del testo in inglese che spiega come attivare l'esecuzione delle macro nelle varie versioni di Word Microsoft.


In effetti cio' contrasta con il dettaglio del testo mail, che era in italiano e sicuramente molto ingannevole, ma in questo caso e' possibile che, se l'esecuzione delle macro fosse abilitata, il testo mostrato conti poco in quanto avremmo gia' la possibile azione malevola in corso.

Esaminando infatti i contenuti del doc troviamo questo codice macro


che se andasse in esecuzione, tenterebbe di scaricare da sito su dominio .ru una falsa immagine png, in realta' codice malevolo

Ecco come Virus Total rilevava il codice incluso nel doc


con praticamente nessun AV che evidenzia la minaccia.

Scaricando il fake file immagine dal sito .ru ed analizzandolo con VT abbiamo invece un maggior numero di software che rilevano i contenuti malevoli


Dal punto di vista dell'origine dell'azione di distribuzione malware alcuni dettagli , a parte il dominio .ru a supporto del codice macro, notiamo anche code page del documento word che mostra


e scritta in caratteri est europei


L'azione sembra molto recente in quanto sia il response header 


che la data di creazione del dominio .ru (anche se su server koreano) sono attuali.



Un phishing con allegato malevolo che potrebbe quindi rivelarsi abbastanza pericoloso anche se c'e' da dire che normalmente l'esecuzione automatica di codici macro inclusi in documenti word dovrebbe, per motivi di sicurezza,essere di default disabilitata ed e' proprio  per questo il testo del doc mostra, anche se in inglese, come attivare l'esecuzione dei codici macro,

Edgar

venerdì 29 agosto 2014

Phishing Apple IT. Un tipico caso di inclusione in massa di clone di phishing (29 agosto)

Molto spesso abbiamo visto, descritte su questo blog, azioni di hacking che vedevano includere pagine htm dal tipico layout (proclami di vario genere molte volte a scopo politico  ecc....)

Queste azioni sfruttavano anche vulnerabilita' che permettevano di includere codici su un buon numero di siti hostati su medesimo server ed era facile prevedere che ci potessero essere anche azioni di phishing supportate in maniera simile.

Ecco infatti, presente in rete questa mattina  (thai time), un phishing ai danni di utenti italiani di Apple attraverso un clone che si presenta con pagina fake di login 


seguita da pagina  fake di richiesta credenziali personali e di carta di credito:


Dopo la conferma si viene rediretti su legittimo sito Apple in lingua italiana


Ecco invece i dettagli relativi ad una analisi dei siti coinvolti hostati tutti su stesso IP giapponese


e che vede piu' di 20 cloni Apple ospitati su altrettanti  siti compromessi


Qui un dettaglio del report generato con script Autoit


Edgar

Ricordo che e' sempre attivo il db del blog per segnalare eventuali mail di phishing ricevute e delle quali, nel limite del tempo disponibile, verranno dati alcuni dettagli sul blog nonche' effettuata specifica segnalazione a chi si occupa del contrasto al phishing.

mercoledì 6 agosto 2014

Phishing ai danni di azienda italiana di telefonia. Segnalazione sul db del blog (6 agosto)

Ricevuta sul db del blog una segnalazione di phishing ai danni di nota azienda italiana di telefonia.


Si tratta di una mail di phishing dal tipico testo
----------------------------------------------------------------------------------
Gentile Cliente
Scegliendo la Ricarica telefonica da 20 euro.
riceverai in omaggio altri 20 euro di traffico telefonico con incluso 3
mesi di navigazione internet senza limiti da tablet e smartphone.

Come previsto della Promozione entro 45 Giorni riceverai senza ulteriori
costi aggiuntivi altri 60euro di traffico telefonico

Prosegui <link a sito di redirect>
-------------------------------------------------------------------------------------
che vede l'uso di un sito di redir che provvede a linkare il clone ospitato su hoster IT


Per quanto si riferisce al quesito posto dalla lettrice, che ringrazio per la segnalazione,

 ....... ho ricevuto la email il cui testo ho riportato in versione integrale qui sopra nel form, e sono certa che si tratti di phishing. Purtroppo ho cliccato sopra il link, anche se immediatamente ho cambiato la password relativa alla mia carta prepagata..........

se ci si e' limitati a cliccare sul link in mail, visualizzando la pagina clone nel browser, senza fornire comunque i propri dati personali tramite il form, non sussiste alcun problema di sicurezza, almeno in questo caso, visto che la pagina web con il fake form non parrebbe ospitare ulteriori codici malevoli.
Cosa diversa se chiaramente fossero state fornite credenziali e dati personali confermando ed inviando i forms presenti sul clone.

Informo anche che detto phishing e' stato segnalato a chi si occupa del contrasto a queste azioni fraudolente, azioni di phishing che vedremo probabilmente sempre piu' diffuse in conseguenza  dell'incremento della presenza di servizi online sia pubblici che privati. (home banking, pagamenti online di servizi forniti da  aziende pubbliche e private, accesso a siti di P.A. ecc....) 

Ricordo inoltre,  che e' sempre attivo il db del blog per segnalare eventuali mail di phishing ricevute e delle quali, nel limite del tempo disponibile, verranno dati alcuni dettagli sul blog nonche' effettuata specifica segnalazione a chi si occupa del contrasto al phishing.

 Edgar