mercoledì 19 novembre 2014

Pharmacy Hacking ai danni di sito di ASL (19 novembre)

Il fenomeno del 'pharmacy hacking' e' stato trattato molto spesso in questo blog e continua ad esserlo visto che si tratta forse della maggiore tipologia di hacking che colpisce siti IT anche se, in effetti, si stratta di azioni nascoste ai visitatori del sito colpito, e spesso anche di chi lo dovrebbe amministrare.
Lo scopo finale di queste 'inclusioni' di codice che generano pagine e links che puntano a pharmacy e' quello di creare il maggior numero di riferimenti a siti di vendita online di medicinali, per proporli al top dei risultati quando viene effettuata una ricerca in rete.
Per fare questo le inclusioni su siti compromessi generano quasi sempre pagine con links nascosti ai visitatori del sito legittimo, links che invece vengono 'visti' ed indicizzati dal motore di ricerca 
A riprova di questo si possono citare decine casi di siti compromessi rilevati da mesi se non da anni, che continuano a supportare pagine con links a pharmacy.
Altra particolarita' e' che quasi sempre andando ad analizzare i siti presenti sullo stesso IP di quello colpito ne troviamo (a volte in grande quantita') anche altri che presentano inclusione di pharmacy.

Relativamente al caso odierno vediamo adesso alcuni dettagli su una attuale ricerca in rete che evidenzia un sito relativo ad Azienda Sanitaria Locale italiana che ospita links a Pharmacy e che propone un doppio sistema di links che si discosta in parte da quanto visto diffusamente in rete.

Iniziamo con una ricerca in rete che trova riferimenti a termini di Pharmacy collegati a legittime pagine proposte dal sito ASL


Come si nota seguendo i links abbiamo pagine del tutto legittime nel layout proposto ( notare il testo dei risultati) e che vengono pero trovate quando inseriamo nelle keywords di ricerca termini di Pharmacy quali cialis, viagra ecc.....
Questa una delle pagine che apparentemente non mostra niente di particolare


 ma che rivela analizzandone il source


l'evidente  presenza dei links contenenti termini di pharmacy
In particolare i links non puntano, e questa e' la cosa non comune ad altri  casi, a pagine esterne al sito ASL ma ad altre pagine interne al sito che propongono


Si tratta di layout che comprende una immagine ed un link cliccabile a sito di vendita di medicinali online.
Da evidenziare come detta pagina faccia riferimento a diverso folder sul sito ASL, e l'immagine proposta sia ancora su altro folder


Chiaramente il motore di ricerca visitando il sito compromesso indicizzera' le pagine con inclusi i links ed i testi relativi a termini di Pharmacy viste prima


generando i collegamenti alle pagine con banner e link esterni come vediamo nel seguente screenshot


Cliccando sui risultati otterremo quindi 


da cui poi si verra' rediretti sui siti di vendita medicinali.

Da notare come attualmente cliccando sul pulsante 'more info' in realta' venga caricata questa pagina che parrebbe evidenziare che il dominio creato ad hoc per proporre Pharmacy sia 'expired' ossia scaduto come registrazione


 ma comunque si puo' pensare che in passato il link fosse attivo ed utilizzabile.
La riprova e' che se utilizziamo la cache di Google la pagina sul sito ASL risulta essere attiva da quasi un mese ma probabilmente anche da data precedente.


Come detto in premessa, di solito queste azioni di Pharma Hacking non si limitano a colpire un singolo sito ma possono interessare diversi domini sul medesimo host (IP).
A conferma di questo se effettuiamo una scansione dell'IP in questione 


tramite script Autoit, otteniamo un report che ben evidenzia diversi altri siti coinvolti in azioni di Pharmacy Hacking.


Questo,ad esempio, un source attuale


mentre, caso particolare, sembrano pure essere stati modificati dei documenti che il browser carica come PDF e che includono links e termini di Pharmacy.


Anche se dal punto di vista della sicurezza per chi visita i siti coinvolti, non parrebbero esserci evidenti problemi, in quanto links volutamente ben nascosti, e' chiaro che l'inclusione di codici di Pharmacy Hacking, mostra che direttamente  od indirettamente sono presenti vulnerabilta' che potrebbero essere utilizzate per scopi anche malevoli con links a malware o hosting di phishing.

Altro effetto collaterale forse meno evidente ma da non sottovalutare e' trovare la presenza del sito compromesso nei risultati delle ricerche in rete e quindi associabile a questo genere di spam.
Da rilevare poi che alcuni motori di ricerca potrebbero bannare il dominio in questione proponendo messaggi di allerta nei risultati delle ricerche.
L'hacking con contenuti di pharmacy infatti, anche se raramente coinvolge codici considerati malevoli, per cui Google non contrassegnera' il sito con l'avviso “questo sito potrebbe danneggiare il tuo computer”, potra' portare il motore di ricerca  ad proporre nei risultati il testo “questo sito potrebbe essere stato compromesso” ed eventualmente generare anche una email di notifica che informa che il sito sta violando le linee guida di Google. 
A questo punto ci potrebbero essere delle conseguenze sull'efficacia dei risultati di una ricerca in rete con possibile decrescita dei visitatori delle pagine colpite e/o del sito in generale.
Riprendersi dagli effetti nocivi di un pharmacy hacking porterebbe quindi a tempi lunghi per ripristinare correttamente  i risultati di una ricerca Google

Altri post sul blog riguardo al Pharmacy Hacking:

http://edetools.blogspot.com/2013/04/the-pharmacy-hack-alcuni-dettagli-e.html

http://edetools.blogspot.com/2013/05/massive-action-of-pharmacy-hack-ai.html

Edgar

venerdì 14 novembre 2014

In allegato fattura prenotazioni con carta di credito. Nuova ingannevole mail con link a malware (14 novembre)

Si tratta dell'ennesima mail che tenta di far scaricare ed eseguire un file con contenuti malware.
La particolarita' di questo nuovo caso e' la notevole 'fantasia' dei creatori del messaggio fake che, questa volta, non utilizzano il solito generico testo relativo a fotografie o documenti da visualizzare che ci riguarderebbero ma una prenotazione presso un Bed & Breakfast situato in una nota citta' italiana.

In pratica per convincerci a visionare la ricevuta della fake prenotazione, che avremmo pagato con carta di credito, e' stata creata questa mail dal testo ingannevole


che fa riferimento ad una attivita' di Bed & Breakfast realmente esistente e di cui vediamo la homepage


La mail riporta il reale indirizzo del  Bed & Breakfast cosi' come i numeri di telefono e la mail.
Anche il link visualizzato viene proposto come puntare al sito legittimo.

L'Ip presente nell'header mail e' romeno


mentre l'host del file zip e relativo file .scr eseguibile sono su sito compromesso 


con, pure in questo caso,  whois con IP romeno.


Il contenuto del file zip linkato in mail mostra il 'solito' file .scr (formato di file eseguibile usato anche recentemente QUI)


Il messaggio mail potrebbe quindi risultare molto ingannevole proprio per il fatto che ci si riferisce ad una reale attivita' commerciale
Di conseguenza chi riceve la mail potrebbe credere che che si tratti di contenuti legittimi, e cliccare sul fake documento presente nel file zip, con tutte le conseguenze del caso.

Fortunatamente, a distanza pero' ormai di ore dalla probabile messa online del malware, il riconoscimento dei contenuti pericolosi da parte dei piu' diffusi  softwares Av, risulta elevato.
Rimane comunque possibile che, nelle prime ore della 'distribuzione' delle fake mails, il file malware non fosse riconosciuto in maniera estesa, come accade spesso in questi casi.

Un effetto collaterale di questo genere di spam malware, se la mail e' stata distribuita estesamente, potrebbe anche essere un elevato numero di richieste di 'chiarimenti' da parte di utenti Internet nei riguardi di chi gestisce il Bed & Breakfast, coinvolto suo malgrado nello spam odierno.

Edgar  

mercoledì 5 novembre 2014

Foto. Inviato dal mio Nokia 6185i. Nuova distribuzione mail con allegato malware (5 novembre)

Nuovamente attivo lo spam malware ai danni di utenti IT della rete.
Si tratta di mail con allegato in formato .ZIP contenente file eseguibile .scr e, caso particolare, anche un file di testo .txt
Altra cosa rilevante gli headers mail che vedono la presenza di soli IP italiani.

Ecco i dettagli:

Questa la mail 


dal tipico layout per questo genere di spam malware, con piu' di un destinatario e con allegato ZIP
L'oggetto mail ed il testo del messaggio, come succede in questi casi, cercano di proporre il file allegato come una foto scattata utilizzando un telefono cellulare.

Interessanti gli headers mail che mostrano IP tutti italiani


Questo invece il contenuto del file ZIP


dove si nota sia il file  photo.scr ma anche, cosa insolita, un file .TXT 


il cui contenuto ribadisce che l'allegato e' una fotografia.

L'inclusione del file testo e' fatta  probabilmente per cercare di ingannare meglio chi ricevesse la mail ed indurlo a cliccare sul file eseguibile .scr.

Ricordo invece, che l'estensione .SCR e' stata associata da Microsoft a contenuti di Screen Saver ma poiche' il file .SCR e' a tutti gli effetti un eseguibile questo tipo di file e stato usato, specialmente in passato, come mezzo di diffusione di malware

Da notare che una analisi VT vedeva nelle prime ore della comparsa online della fake mail, un riconoscimento  estremamente ridotto dei contenuti malevoli.


Dopo qualche ora una analisi VT mostra un maggiore riconoscimento, anche se alcuni noti Av, al momento non evidenziano la minaccia.


Da notare come, ancora una volta, l'utilizzo di una semplice mail con allegato file eseguibile, potrebbe essere molto efficace nella possibile diffusione di malware, sia perche' nella sua semplicita' il testo del messaggio mail risulta essere estremamente ingannevole, ma anche a causa del basso riconoscimento AV, specialmente nelle prime ore di diffusione della fake mail.

Edgar