giovedì 18 dicembre 2014

ATTENZIONE abbiamo criptato vostri file con il virus CryptoLocker. Nuovamente attiva una distribuzione IT di malware del genere Ransomware (18 dicembre)

Nuovamente attiva online la distribuzione di malware Ransomware tramite fake mail e sito clone della nota azienda di spedizioni SDA ( SDA Express Courier e' un'azienda nata nel 1984 per operare nel settore delle spedizioni espresse nazionali, dal 1998 fa parte del gruppo Poste Italiane ed ha ampliato l'offerta nella gestione logistica, distributiva e per la vendita a distanza.(fonte Wikipedia))

Il malware denominato in modo specifico del tipo  Ransomware e' ormai noto da tempo.
Riporto comunque una breve descrizione 'dell'attivita'' svolta dal malware traducendo quanto appare sul sito   http://www.bleepingcomputer.com

…...... Quando il file eseguibile, fatto passare per documento riferito ad una spedizione che ci riguarda, viene cliccato, infettera' il computer ed iniziera' la scansione di tutti gli hard disk visibili per cercare i files dati presenti.
Nel momento che il malware rileva un file di dati supportato, questo  sara' criptato e verra' aggiunta l'estensione .encrypted al nome del file..........

I file di dati che verranno crittografati includono le seguenti estensioni:

* .wb2, * .psd, * .p7c, * .p7b, * .p12, .pfx *, * .pem, * .crt, * .cer, * .der, * .pl, * .py, *. lua, * .css, * .js, * .asp, .php *, * .incpas, * .asm, * .hpp, * .h, * cpp, * .c, * .7z, * .zip, * .rar, * .drf, * .blend, * .apj, * .3ds, * .dwg, * .sda, * .ps, * .pat, * .fxg, * .fhd, * .fh, *. dxb, * .drw, * .design, * .ddrw, * .ddoc, * .dcs, * .csl, * .csh, * .cpi, * .cgm, * cdx, * .cdrw, * .cdr6, * .cdr5, * .cdr4, * .cdr3, * .cdr, * .awg, * .ait, * .ai, * .agd1, * .ycbcra, * .x3f, * .stx, * .st8, *. ST7, * .st6, * .st5, * .st4, * .srw, * .srf, * .sr2, * .sd1, * .sd0, * .rwz, * .rwl, * .rw2, * .raw, * .raf, * .ra2, * .ptx, * .pef, * .pcd, * .orf, * .nwb, * .NRW, * .nop, * .nef, * .ndd, * .mrw, *. mos, * .mfw, * .MEF, * .mdc, * .kdc, * .kc2, * .iiq, * .gry, * .grey, * .gray, * .fpx, * .fff, * .exf, * .erf, * .DNG, * .dcr, * .dc2, * .crw, * .craw, * .cr2, * .CMT, * .cib, * .ce2, * .ce1, * .arw, *. 3PR, * .3fr, * .mpg, * .jpeg, * .jpg, * .mdb, * .sqlitedb, * .sqlite3, * .sqlite, * .sql, * .sdf, * .sav, * .sas7bdat, * .s3db, * .rdb, * .psafe3, * .nyf, * .nx2, * .nx1, * .nsh, * .nsg, * .nsf, * .nsd, * .NS4, * .ns3, *. ns2, * Myd, * .kpdx, * .kdbx, * .idx, * .ibz, * .ibd, * .fdb, * .erbsql, * .db3, * .dbf, * DB-journal, *. db, * .cls, * .bdb, * .al, * .adb, * .backupdb, * .BIK, * .backup, * .bak, * .bkp, * .moneywell, * .mmw, * .ibank, * .hbk, * .ffd, * .dgc, * .ddd, * .dac, * .cfp, * cdf, * .bpw, * .bgt, * .acr, * .ac2, * .ab4, *. DjVu, * .pdf, * .sxm, * .odf, * .STD, * .sxd, * .otg, * .sti, * .sxi, * .otp * .odg, * .odp, * .stc, * .sxc, * .ots, * .ods, * .sxg, * .stw, * .sxw, * .odm, * .oth, * .ott, * .odt, * .odb, * .csv, *. rtf, * .accdr, * .accdt, * .accde, * .accdb, * .sldm, * .sldx, * .ppsm, * ppsx, * .ppam, * .potm, * .potx, * .pptm, * .pptx, * .pps, * pot, * .ppt, * .xlw, * xll, * .xlam, .xla, * .xlsb, * .xltm, * .xltx, * .xlsm, *. xlsx, * .xlm, * .xlt, * .xls, * .xml, * dotm, * dotx, * .docm, * .docx, * .dot, * .doc, * .txt

Notate come nella lunga lista siano presenti praticamente tutti i generi di files dati, dai file database a quelli es. excel, testo, le foto in vari formati, i files compressi zip, i files di grafica  ecc.........
E 'importante sottolineare che verra' effettuata la scansione di tutte le lettere di unita' del computer, tra cui le unita' rimovibili, le condivisioni di rete, o anche Dropbox. 
In sintesi, se vi e' una unita' dati visibile dal PC questa verra' sottoposta a scansione per criptarne i files dati.
Interessante come il malware cerchi di eliminare eventuali 'Shadow Volume Copies' presenti onde evitare possibili restore dei contenuti.

Come vedremo poi, eseguendo per  test il file malware scaricato dalla rete attraverso il fake sito SDA, verranno anche creati 2 files (uno txt e uno htm) con le istruzioni per decriptare a pagamento i dati criptati dal Ransomware.

Vediamo ora alcuni dettagli del caso odierno:

Questo un esempio del layout mail tratto dal sito



L'attuale clone SDA e' linkato attualmente tramite redirect su dominio Est Europeo di cui un whois mostra data  recente di creazione (fine novembre)


Il clone SDA e' invece ospitato su hoster


ed con dominio creato solamente 3 giorni fa, cosa che dimostra che siamo di fronte ad una nuova distribuzione malware.


Ecco come si presenta il clone SDA dove troviamo a centro pagina un pulsante per scaricare il file relativo alla fake spedizione.



Confrontandolo con la home originale SDA


si vede la cura posta nel clonare il sito originale.

Particolarita' comune anche a casi di phishing un IP del visitatore su range non IT porta ad essere rediretti sulla home di Google (nel mio caso specifico ovviamente in lingua THAI)


Da notare la presenza del codice della fake captcha che in realta' e' costituito sempre dal numero '22558' che non cambia con successivi caricamenti della stessa.
Cliccando sul pulsante 'scarica' si passa a 


dove abbiamo anche un link diretto al file zip.


Come si vede, Il contenuto dello zip e' un eseguibile dal nome ingannevole che, nelle prime ore della sua diffusione, vedeva un basso riconoscimento da parte de i softwares AV


ma anche attualmente ci sono ancora diversi software AV che non riconoscono la minaccia.


Eseguendo il file si nota listando i contenuti del disco  come vengano generati oltre ai files criptati con estensione .encrypted anche i due file di 'istruzioni' 


che mostrano file htm


e file testo come


Notate l'indicazione della url della pagina dalla quale, a pagamento, sara' possibile ottenere la chiave per decriptare i files dati.

Qui vediamo la versione in lingua italiana del file htm di istruzioni


Una distribuzione Ransomware quindi attiva e abbastanza pericolosa vista la cura posta nel clonare il reale sito SDA per proporre il download dell'eseguibile malware, pagina che potrebbe trarre in inganno chi seguisse il link in mail.

Questo un link a  sito in lingua inglese con altri dettagli riguardo a malware Ransomware. http://www.bleepingcomputer.com simile a quello analizzato nel post.

Edgar

venerdì 28 novembre 2014

Gentile cliente Abbiamo tentato di consegnare il tuo articolo. Ennesima mail con allegato malware fatta passare, questa volta, per comunicazione FedEx (28 novembre)

Poche righe per descrivere l'ennesima distribuzione di malware attraverso allegato mail fatto passare per documento relativo a spedizione effettuata tramite il servizio offerto da Federal Express.


Come si vede, contrariamente agli ultimi casi esaminati abbiamo un lungo testo, scritto comunque in un italiano poco corretto.
Tra l'altro anche l'oggetto mail  non pare essere molto collegato ai contenuti del messaggio in quanto presenta solo 'Young, Tad S. agent company FEDEX'

In compenso nel testo risulta la data odierna in … “Abbiamo tentato di consegnare il tuo articolo il 28 novembre 2014, ... “ , cosa che dovrebbe aumentare la credibilita' della mail e che dimostra come lo spam sia attuale.

Uno degli IP presenti in header mail, quello di possibile origine del messaggio, parrebbe essere su range italiano


anche se le caratteristiche del testo in mail fanno piuttosto pensare a creatore del messaggio non italiano.

L'allegato e' un file .ZIP contenente un file eseguibile in formato .SCR. con data  odierna.


Questa volta chi gestisce lo spam malware non ha pero' provveduto ad aggiungere la doppia estensione fake al nome del file per farlo passare come documento in in formato PDF, di cui su scrive nel  testo mail …...Per scaricare la fattura commerciale, in formato PDF, necessario per la riconsegna, scaricare il file:…................

Tutto sommato quindi uno spam non molto curato nei dettagli il cui maggiore pericolo potrebbe venire per la maggior parte, dal quasi nullo riconoscimento dei contenuti malevoli nelle prime ore di distribuzione della mail


basso riconoscimento che anche dopo qualche ora dalla prima analisi Virus Total risulta comunque ancora molto ridotto.


Edgar  

mercoledì 19 novembre 2014

Pharmacy Hacking ai danni di sito di ASL (19 novembre)

Il fenomeno del 'pharmacy hacking' e' stato trattato molto spesso in questo blog e continua ad esserlo visto che si tratta forse della maggiore tipologia di hacking che colpisce siti IT anche se, in effetti, si stratta di azioni nascoste ai visitatori del sito colpito, e spesso anche di chi lo dovrebbe amministrare.
Lo scopo finale di queste 'inclusioni' di codice che generano pagine e links che puntano a pharmacy e' quello di creare il maggior numero di riferimenti a siti di vendita online di medicinali, per proporli al top dei risultati quando viene effettuata una ricerca in rete.
Per fare questo le inclusioni su siti compromessi generano quasi sempre pagine con links nascosti ai visitatori del sito legittimo, links che invece vengono 'visti' ed indicizzati dal motore di ricerca 
A riprova di questo si possono citare decine casi di siti compromessi rilevati da mesi se non da anni, che continuano a supportare pagine con links a pharmacy.
Altra particolarita' e' che quasi sempre andando ad analizzare i siti presenti sullo stesso IP di quello colpito ne troviamo (a volte in grande quantita') anche altri che presentano inclusione di pharmacy.

Relativamente al caso odierno vediamo adesso alcuni dettagli su una attuale ricerca in rete che evidenzia un sito relativo ad Azienda Sanitaria Locale italiana che ospita links a Pharmacy e che propone un doppio sistema di links che si discosta in parte da quanto visto diffusamente in rete.

Iniziamo con una ricerca in rete che trova riferimenti a termini di Pharmacy collegati a legittime pagine proposte dal sito ASL


Come si nota seguendo i links abbiamo pagine del tutto legittime nel layout proposto ( notare il testo dei risultati) e che vengono pero trovate quando inseriamo nelle keywords di ricerca termini di Pharmacy quali cialis, viagra ecc.....
Questa una delle pagine che apparentemente non mostra niente di particolare


 ma che rivela analizzandone il source


l'evidente  presenza dei links contenenti termini di pharmacy
In particolare i links non puntano, e questa e' la cosa non comune ad altri  casi, a pagine esterne al sito ASL ma ad altre pagine interne al sito che propongono


Si tratta di layout che comprende una immagine ed un link cliccabile a sito di vendita di medicinali online.
Da evidenziare come detta pagina faccia riferimento a diverso folder sul sito ASL, e l'immagine proposta sia ancora su altro folder


Chiaramente il motore di ricerca visitando il sito compromesso indicizzera' le pagine con inclusi i links ed i testi relativi a termini di Pharmacy viste prima


generando i collegamenti alle pagine con banner e link esterni come vediamo nel seguente screenshot


Cliccando sui risultati otterremo quindi 


da cui poi si verra' rediretti sui siti di vendita medicinali.

Da notare come attualmente cliccando sul pulsante 'more info' in realta' venga caricata questa pagina che parrebbe evidenziare che il dominio creato ad hoc per proporre Pharmacy sia 'expired' ossia scaduto come registrazione


 ma comunque si puo' pensare che in passato il link fosse attivo ed utilizzabile.
La riprova e' che se utilizziamo la cache di Google la pagina sul sito ASL risulta essere attiva da quasi un mese ma probabilmente anche da data precedente.


Come detto in premessa, di solito queste azioni di Pharma Hacking non si limitano a colpire un singolo sito ma possono interessare diversi domini sul medesimo host (IP).
A conferma di questo se effettuiamo una scansione dell'IP in questione 


tramite script Autoit, otteniamo un report che ben evidenzia diversi altri siti coinvolti in azioni di Pharmacy Hacking.


Questo,ad esempio, un source attuale


mentre, caso particolare, sembrano pure essere stati modificati dei documenti che il browser carica come PDF e che includono links e termini di Pharmacy.


Anche se dal punto di vista della sicurezza per chi visita i siti coinvolti, non parrebbero esserci evidenti problemi, in quanto links volutamente ben nascosti, e' chiaro che l'inclusione di codici di Pharmacy Hacking, mostra che direttamente  od indirettamente sono presenti vulnerabilta' che potrebbero essere utilizzate per scopi anche malevoli con links a malware o hosting di phishing.

Altro effetto collaterale forse meno evidente ma da non sottovalutare e' trovare la presenza del sito compromesso nei risultati delle ricerche in rete e quindi associabile a questo genere di spam.
Da rilevare poi che alcuni motori di ricerca potrebbero bannare il dominio in questione proponendo messaggi di allerta nei risultati delle ricerche.
L'hacking con contenuti di pharmacy infatti, anche se raramente coinvolge codici considerati malevoli, per cui Google non contrassegnera' il sito con l'avviso “questo sito potrebbe danneggiare il tuo computer”, potra' portare il motore di ricerca  ad proporre nei risultati il testo “questo sito potrebbe essere stato compromesso” ed eventualmente generare anche una email di notifica che informa che il sito sta violando le linee guida di Google. 
A questo punto ci potrebbero essere delle conseguenze sull'efficacia dei risultati di una ricerca in rete con possibile decrescita dei visitatori delle pagine colpite e/o del sito in generale.
Riprendersi dagli effetti nocivi di un pharmacy hacking porterebbe quindi a tempi lunghi per ripristinare correttamente  i risultati di una ricerca Google

Altri post sul blog riguardo al Pharmacy Hacking:

http://edetools.blogspot.com/2013/04/the-pharmacy-hack-alcuni-dettagli-e.html

http://edetools.blogspot.com/2013/05/massive-action-of-pharmacy-hack-ai.html

Edgar