Phishing Paypal in lingua francese su sto italiano compromesso. Una particolare coincidenza

A volte capita che confrontando l'argomento trattato dal sito compromesso che ospita il phishing ed il sito di phishing hostato all'interno dello stesso si possano creare delle situazioni abbastanza particolari.

E' il caso, ad esempio, di questo sito di phishing ai danni di Paypal in lingua francese, segnalatomi da Filoutage,

che e' ospitato all'interno di un sito italiano che sembrerebbe essere un sito di e-learning dedicato a chi opera per il gruppo bancario italiano Unicredit.

Un whois dimostra comunque che non si tratta del medesimo ip appartenete al gruppo bancario italiano ma di differente server.

Ecco un dettaglio della struttura del sito con in evidenza l'ambiente di sviluppo utilizzato e cioe' Joomla che potrebbe essere, ancora una volta la fonte della vulnerabilita' sfruttata da chi ha inserito il phishing.

Si tratta , dalle date dei files che costituiscono il falso sito di Paypal, di pagine non recenti ma comunque ancora attive ed online.


Edgar

Un file eseguibile malware niente o poco riconosciuto

AVVISO IMPORTANTE!
Ricordo che anche se il link all'eseguibile malware e' lasciato in chiaro nello screenshot per chi volesse analizzarlo, ricordo che si tratta di file tuttora online e scarsamente riconsciuto.

Continua la presenza in rete di malware che viene costantemente aggiornato dai suoi creatori per renderne difficile il riconoscimento.

Quello che esaminiamo adesso e' un file eseguibile che veniva linkato nella serata di ieri (ora thai) da piu' di 300 collegamenti presenti in maniera nascosta su sito italiano di distribuzioni musicali. ( dopo qualche ora il sito appariva bonificato dai numerosi links )

Tutti i links presenti puntavano a pagine come questa,

che presentano due scelte per accedere o non accedere al presunto sito di filmati porno online.

In effetti vedendo il contenuto dei links si puo' notare che la scelta di una o dell'altra opzione e' assolutamente ininfluente sul risultato

Questa la classica pagina del falso player (con una grafica differente da quelle gia' viste in passato ) che propone di utilizzare una nuova versione aggiornata di Flash Player 10 ed in assenza della quale non sara' possibile visionare il filmato.

Come si vede viene proposta una nuova release di Flash Player vers. 10.45... mentre la REALE versione attualmente disponibile per il download da Adobe e'

Ed ecco come si presentava una analisi del file malware nella serata di ieri
ossia riconoscimento nullo da parte dei softwares su VT.

Questa volta pero', il sito Virscan, che di solito presenta risultati di scansioni online di malware, con minor numero di positivi, ha evidenziato il contenuto pericoloso del file , con due dei software presenti sul report. ( softwares presenti anche tra quelli usati da VT ma evidentemente con diverse impostazioni sulla profondita' e tipo di analisi da eseguire in quanto se prendiamo per buone le indicazioni dei reports , i due softwares sembrano utilizzare in entrambi i casi sia la medesima versione del software che dell'aggiornamento)

Una analisi Anubis ha mostrato comunque un certo numero di connessioni di rete stabilite dal software quando in esecuzione, cosa confermata anche da Threat Expert.

Tra i vari links presenti sui report Anubis e Threat Expert quasi tutti che puntano in Usa abbiamo anche un IP con whois appartenente a Panama.
Un a verifica dei codici hash dimostra inoltre che per ogni successivo download il codice muta costantemente cercando di rendersi ulteriormente nascosto ad una analisi antivirus.

Nella mattinata di oggi (ora thai) come gia' scritto, il sito risulta bonificato, alcune pagine che eseguivano il redirect sono messe offline, ma la distribuzione del malware continua tramite il sito gia' visto, ed una analisi dell'eseguibile mostra adesso un riconoscimento , sempre a livelli quasi nulli, come si vede da questo report VT.

Edgar

Aggiornamento Waledac botnet 16 luglio 09

L'attivita' dei domini Waledac creati per l'Indipendence Day Usa del 4 luglio e' stata abbastanza breve, mentre sono comparsi da poco alcuni nuovi indirizzi collegati alla botnet.

Infatti sono attivi, come risulta dal report presente su Sudosecure, alcuni nuovi nomi di dominio di cui vediamo una breve lista

Questi domini, supportati dalla botnet Waledac, presentano un codice

che linka in automatico a diverse pagine di pharmacy che a loro volta mostrano avere, in alcuni casi, piu' IP attivi comuni alla stessa URL.

Questa ad esempio una delle pagine linkate

hostata su


mentre quest'altra pagina , sempre linkata in automatico, da uno dei nuovi domini Waledac

presenta questo whois.

Sta in pratica accadendo quello che e' gia' successo in passato, e cioe', dopo la campagna di distribuzione malware, ora la botnet, probabilmente solo in parte, viene usata per distribuire links a pagine di pharmacy ,con layout e contenuti, gia' visti da tempo in rete.

Questo un breve report eseguito con uno script Autoit che attua un whois ciclico su uno dei nuovi domini Waledac e che ne conferma la modalita fastflux con variazione continua dell'IP di provenienza.


Gli IP rilevati sono associati a macchine compromesse dal malware, che potrebbero non solo essere collegate all'ultima campagna Waledac del 4 luglio ma anche gia, compromesse durante i mesi precedenti.
Infatti al momento sono ai primi posti nazioni non direttamente legate alla festa dell'indipendenza USA (ultima campagna Waledac) ma che nel report appaiono invece con un numero di macchine colpite in percentuale elevata.(Romania, Korea, Polonia, Bulgaria)

Edgar

Aggiornamento phishing 15 luglio 09

All'inizio del mese scorso veniva segnalato il caso del typosquatting ai danni di Banca Generali.

Il phishing veniva attuato sfruttando siti su IP italiano che presentavano nomi molto simili alla reale URL della banca e reindirizzavano su sito di phishing.

In seguito era capitato che sempre il medesimo IP ospitasse una pagina di login fasulla ai danni di CartaSi

Adesso sembra che sia attivo ancora questo sito ai danni di Ebay

che un whois indica hostato sul medesimo server gia utilizzato per gli altri 2 phishing


Questo invece un recente uso di HTTrack per catturare e mettere in linea un falso sito ai danni di Intesa San Paolo


Edgar

Notevole uso di alias per siti di phishing IT

Questo un sito di phishing segnalatomi da Filoutage che riguarda PosteIT

Come si puo' notare dallo screenshot, analizzando il codice della pagina, esiste una particolarita' che fa sorgere piu' di qualche dubbio sulla reale provenienza del sito di phishing.

Se infatti andiamo ad analizzare l'URL vediamo che mentre un whois ci dice che la pagina e' hostata su server nelle Filippine

esiste comunque un altro indirizzo che ospita il phishing, tra l'altro su IP italiano

e che corrisponde a questa homepage di sito 'in costruzione' ma creato forse solo per usarlo come supporto al phishing:

Occorre quindi approfondire la ricerca:

Esaminando meglio i contenuti del dominio .PL (Polonia, anche se hostato su server delle Filippine) che parrebbe hostare il sito di phishing in contrasto con il doppio indirizzo web rilevato di PosteIT ecco i risultati:

Si tratta di un sito polacco (su IP delle Filippine) che permette di creare alias per indirizzi web.

Viste le molte possibilita' che offre in fatto di reports e statistiche , questo sito, permette di visionare un vero e proprio archivio di indirizzi web di phishing ai danni sia di Poste IT ma anche di Paypal, Ebay ecc..... hostati sia su server esteri che su servers IT

Qui vediamo la home tradotta con l'ausilio di Google, relativamente ad alcuni dettagli

e dove notiamo subito l'elenco degli ultimi alias attivati (non mancano indirizzi web riferiti a PosteIt ma anche a Paypal (in versione sito italiana) Ebay ecc...) e che puntano a pagine di phishing tuttora online

Sono disponibili anche, ricerche per nome, utili per verificare la presenza e quantita' di links a phishing

Risalendo, In maniera abbastanza semplice, al reale indirizzo della pagina web che propone il phishing, abbiamo diverse sorprese al riguardo dell'hosting delle pagine.

Oltre al sito PosteIt visto prima abbiamo, ad esempio questo phishing in italiano ai danni di Paypal

con link reale su

e con sito che lo ospita ( in costruzione ) simile come per il precedente PosteIT e sempre su server IT.


Come si vede attraverso l'uso di un sito di gestione di alias ci sono diversi vantaggi per chi crea pagine e siti di phishing poiche' oltre che a mascherare il reale indirizzo del phishing l'alias puo gestire nomi di url che si adattano meglio al phishing stesso e con estrema facilita' e sicurezza per chi attua questo genere di truffa e furto di dati sensibili personali.

Edgar