mercoledì 6 agosto 2014

Phishing ai danni di azienda italiana di telefonia. Segnalazione sul db del blog (6 agosto)

Ricevuta sul db del blog una segnalazione di phishing ai danni di nota azienda italiana di telefonia.


Si tratta di una mail di phishing dal tipico testo
----------------------------------------------------------------------------------
Gentile Cliente
Scegliendo la Ricarica telefonica da 20 euro.
riceverai in omaggio altri 20 euro di traffico telefonico con incluso 3
mesi di navigazione internet senza limiti da tablet e smartphone.

Come previsto della Promozione entro 45 Giorni riceverai senza ulteriori
costi aggiuntivi altri 60euro di traffico telefonico

Prosegui <link a sito di redirect>
-------------------------------------------------------------------------------------
che vede l'uso di un sito di redir che provvede a linkare il clone ospitato su hoster IT


Per quanto si riferisce al quesito posto dalla lettrice, che ringrazio per la segnalazione,

 ....... ho ricevuto la email il cui testo ho riportato in versione integrale qui sopra nel form, e sono certa che si tratti di phishing. Purtroppo ho cliccato sopra il link, anche se immediatamente ho cambiato la password relativa alla mia carta prepagata..........

se ci si e' limitati a cliccare sul link in mail, visualizzando la pagina clone nel browser, senza fornire comunque i propri dati personali tramite il form, non sussiste alcun problema di sicurezza, almeno in questo caso, visto che la pagina web con il fake form non parrebbe ospitare ulteriori codici malevoli.
Cosa diversa se chiaramente fossero state fornite credenziali e dati personali confermando ed inviando i forms presenti sul clone.

Informo anche che detto phishing e' stato segnalato a chi si occupa del contrasto a queste azioni fraudolente, azioni di phishing che vedremo probabilmente sempre piu' diffuse in conseguenza  dell'incremento della presenza di servizi online sia pubblici che privati. (home banking, pagamenti online di servizi forniti da  aziende pubbliche e private, accesso a siti di P.A. ecc....) 

Ricordo inoltre,  che e' sempre attivo il db del blog per segnalare eventuali mail di phishing ricevute e delle quali, nel limite del tempo disponibile, verranno dati alcuni dettagli sul blog nonche' effettuata specifica segnalazione a chi si occupa del contrasto al phishing.

 Edgar

martedì 29 luglio 2014

Inclusione di pagina di hacking su siti IT (29 luglio)

Almeno 36 siti IT hostati su ip in range IT


presentavano questa mattina (ora thai) inclusa questa pagina di hacking


Si tratta di tipica pagina di hacking con riferimenti anche agli avvenimenti medio orientali.
Questi i risultati di una scansione eseguita tramite tool Autoit, dei domini rilevati con reverse IP 


mentre ecco un dettaglio del numero totale dei record generati dallo script.


Come sempre trattandosi di pagine incluse e nascoste ai visitatori dei siti colpiti e' possibile che le stesse rimangano online per diverso tempo, dimostrando comunque la presenza di problemi di vulnerabilita' o comunque problemi di sicurezza, che potrebbero essere usati  a supporto  di phishing, inclusione di codici malware, hosting di files dal contenuto malevolo, inclusione di codici di pharmacy ecc.....

Edgar

mercoledì 16 luglio 2014

Ritornano le mails con allegato file malware (16 luglio)

Nuovamente attivo lo spam malware ai danni di utenti IT della rete.

Questa una delle mail ricevute 


che attraverso un testo che informa dell'allegata foto, tenta di far cliccare ed eseguire in realta' un file malware.

Ecco gli headers presenti in mail


Per quanto si riferisce all'allegato si tratta di un file zip che contiene il 'solito' eseguibile .scr (vedi post precedenti)


e che ad una analisi VT vede un veramente basso riconoscimento, al momento della ricezione della mail


Passata qualche ora abbiamo un maggiore riconoscimento malware, come si vede da questa ulteriore analisi VT


Da notare come la mail presenti vari indirizzi di mailbox tutti comunque IT a cui e' stato inviato il fake file foto.


Quasi si trattasse di una azione coordinata, dopo qualche ora sono state ricevute diverse mails, questa volta in lingua inglese, che a grandi linee, ricalcano la mail descritta in precedenza.
Qui vediamo alcuni layout


dove invece che la fake foto viene indicato un allegato relativo a pagamento o acquisto ma anche nel testo un riferimento al nostro passaporto, tutti argomenti volti a farci cliccare sull'eseguibile malware allegato.

Le analogie con lo spam IT sono diverse come ad esempio l'uso di files .scr 


ed anche l'invio multiplo a diversi utenti internet anche se questa volta non solo IT.
Da notare poi come in queste ultime mail siano stati inseriti ben due allegati, uno informato zip e uno in formato rar quasi a cautelarsi che chi riceve il messaggio abbia comunque una alternativa per visionare il file allegato.
In queste recenti mails una analisi VT mostra un quasi nullo riconoscimento malware


ed anche


mentre una analisi md5 mostra che i files sono gli stessi nelle due mails analizzate pur presentando differente nome dell'allegato


Gli headers di questo secondo gruppo di mails vedono IP


e


In definitiva un intenso spam che nella semplicita' dei messaggi mail potrebbe comunque essere abbastanza  'efficace' visto anche il quasi nullo riconoscimento da parte degli AV nelle prime ore di invio delle mails.

 Edgar