venerdì 30 gennaio 2015

MESSAGGIO EQUITALIA Mail di phishing Visa dal particolare testo (30 gennaio)

Si tratta di una mail di phishing Visa che presenta sia nell'oggetto che nel testo riferimenti ad Equitalia (Equitalia S.p.A. e' una societa' a partecipazione pubblica italiana, incaricata della riscossione dei tributi su tutto il territorio, ad eccezione della Sicilia. Fonte Wikipedia)

L'utilizzo di mails di phishing con oggetto l'Agenzia delle Entrate e' abbastanza diffuso specialmente con mails che propongono links ad eseguibile malware fatto passare per applicazione legittima di verifica delle dichiarazioni dei redditi.

In questo caso si tratta invece di tipica azione di phishing con l'uso di questa mail


dal testo in un italiano non sempre corretto.

L'header mail presenta  una serie di IP abbastanza lunga



Questo invece il clone Visa che cerca di acquisire le credenziali di carta di credito


e che e' hostato su IP turco.


Al momento della pubblicazione del post il clone non risulta piu' raggiungibile ma, considerato che il link in mail sfrutta comunque un indirizzo di redirect, non e' da escludere che i phishers possano far puntare il link a nuovo hosting del clone Visa.

Edgar

giovedì 18 dicembre 2014

ATTENZIONE abbiamo criptato vostri file con il virus CryptoLocker. Nuovamente attiva una distribuzione IT di malware del genere Ransomware (18 dicembre)

Nuovamente attiva online la distribuzione di malware Ransomware tramite fake mail e sito clone della nota azienda di spedizioni SDA ( SDA Express Courier e' un'azienda nata nel 1984 per operare nel settore delle spedizioni espresse nazionali, dal 1998 fa parte del gruppo Poste Italiane ed ha ampliato l'offerta nella gestione logistica, distributiva e per la vendita a distanza.(fonte Wikipedia))

Il malware denominato in modo specifico del tipo  Ransomware e' ormai noto da tempo.
Riporto comunque una breve descrizione 'dell'attivita'' svolta dal malware traducendo quanto appare sul sito   http://www.bleepingcomputer.com

…...... Quando il file eseguibile, fatto passare per documento riferito ad una spedizione che ci riguarda, viene cliccato, infettera' il computer ed iniziera' la scansione di tutti gli hard disk visibili per cercare i files dati presenti.
Nel momento che il malware rileva un file di dati supportato, questo  sara' criptato e verra' aggiunta l'estensione .encrypted al nome del file..........

I file di dati che verranno crittografati includono le seguenti estensioni:

* .wb2, * .psd, * .p7c, * .p7b, * .p12, .pfx *, * .pem, * .crt, * .cer, * .der, * .pl, * .py, *. lua, * .css, * .js, * .asp, .php *, * .incpas, * .asm, * .hpp, * .h, * cpp, * .c, * .7z, * .zip, * .rar, * .drf, * .blend, * .apj, * .3ds, * .dwg, * .sda, * .ps, * .pat, * .fxg, * .fhd, * .fh, *. dxb, * .drw, * .design, * .ddrw, * .ddoc, * .dcs, * .csl, * .csh, * .cpi, * .cgm, * cdx, * .cdrw, * .cdr6, * .cdr5, * .cdr4, * .cdr3, * .cdr, * .awg, * .ait, * .ai, * .agd1, * .ycbcra, * .x3f, * .stx, * .st8, *. ST7, * .st6, * .st5, * .st4, * .srw, * .srf, * .sr2, * .sd1, * .sd0, * .rwz, * .rwl, * .rw2, * .raw, * .raf, * .ra2, * .ptx, * .pef, * .pcd, * .orf, * .nwb, * .NRW, * .nop, * .nef, * .ndd, * .mrw, *. mos, * .mfw, * .MEF, * .mdc, * .kdc, * .kc2, * .iiq, * .gry, * .grey, * .gray, * .fpx, * .fff, * .exf, * .erf, * .DNG, * .dcr, * .dc2, * .crw, * .craw, * .cr2, * .CMT, * .cib, * .ce2, * .ce1, * .arw, *. 3PR, * .3fr, * .mpg, * .jpeg, * .jpg, * .mdb, * .sqlitedb, * .sqlite3, * .sqlite, * .sql, * .sdf, * .sav, * .sas7bdat, * .s3db, * .rdb, * .psafe3, * .nyf, * .nx2, * .nx1, * .nsh, * .nsg, * .nsf, * .nsd, * .NS4, * .ns3, *. ns2, * Myd, * .kpdx, * .kdbx, * .idx, * .ibz, * .ibd, * .fdb, * .erbsql, * .db3, * .dbf, * DB-journal, *. db, * .cls, * .bdb, * .al, * .adb, * .backupdb, * .BIK, * .backup, * .bak, * .bkp, * .moneywell, * .mmw, * .ibank, * .hbk, * .ffd, * .dgc, * .ddd, * .dac, * .cfp, * cdf, * .bpw, * .bgt, * .acr, * .ac2, * .ab4, *. DjVu, * .pdf, * .sxm, * .odf, * .STD, * .sxd, * .otg, * .sti, * .sxi, * .otp * .odg, * .odp, * .stc, * .sxc, * .ots, * .ods, * .sxg, * .stw, * .sxw, * .odm, * .oth, * .ott, * .odt, * .odb, * .csv, *. rtf, * .accdr, * .accdt, * .accde, * .accdb, * .sldm, * .sldx, * .ppsm, * ppsx, * .ppam, * .potm, * .potx, * .pptm, * .pptx, * .pps, * pot, * .ppt, * .xlw, * xll, * .xlam, .xla, * .xlsb, * .xltm, * .xltx, * .xlsm, *. xlsx, * .xlm, * .xlt, * .xls, * .xml, * dotm, * dotx, * .docm, * .docx, * .dot, * .doc, * .txt

Notate come nella lunga lista siano presenti praticamente tutti i generi di files dati, dai file database a quelli es. excel, testo, le foto in vari formati, i files compressi zip, i files di grafica  ecc.........
E 'importante sottolineare che verra' effettuata la scansione di tutte le lettere di unita' del computer, tra cui le unita' rimovibili, le condivisioni di rete, o anche Dropbox. 
In sintesi, se vi e' una unita' dati visibile dal PC questa verra' sottoposta a scansione per criptarne i files dati.
Interessante come il malware cerchi di eliminare eventuali 'Shadow Volume Copies' presenti onde evitare possibili restore dei contenuti.

Come vedremo poi, eseguendo per  test il file malware scaricato dalla rete attraverso il fake sito SDA, verranno anche creati 2 files (uno txt e uno htm) con le istruzioni per decriptare a pagamento i dati criptati dal Ransomware.

Vediamo ora alcuni dettagli del caso odierno:

Questo un esempio del layout mail tratto dal sito



L'attuale clone SDA e' linkato attualmente tramite redirect su dominio Est Europeo di cui un whois mostra data  recente di creazione (fine novembre)


Il clone SDA e' invece ospitato su hoster


ed con dominio creato solamente 3 giorni fa, cosa che dimostra che siamo di fronte ad una nuova distribuzione malware.


Ecco come si presenta il clone SDA dove troviamo a centro pagina un pulsante per scaricare il file relativo alla fake spedizione.



Confrontandolo con la home originale SDA


si vede la cura posta nel clonare il sito originale.

Particolarita' comune anche a casi di phishing un IP del visitatore su range non IT porta ad essere rediretti sulla home di Google (nel mio caso specifico ovviamente in lingua THAI)


Da notare la presenza del codice della fake captcha che in realta' e' costituito sempre dal numero '22558' che non cambia con successivi caricamenti della stessa.
Cliccando sul pulsante 'scarica' si passa a 


dove abbiamo anche un link diretto al file zip.


Come si vede, Il contenuto dello zip e' un eseguibile dal nome ingannevole che, nelle prime ore della sua diffusione, vedeva un basso riconoscimento da parte de i softwares AV


ma anche attualmente ci sono ancora diversi software AV che non riconoscono la minaccia.


Eseguendo il file si nota listando i contenuti del disco  come vengano generati oltre ai files criptati con estensione .encrypted anche i due file di 'istruzioni' 


che mostrano file htm


e file testo come


Notate l'indicazione della url della pagina dalla quale, a pagamento, sara' possibile ottenere la chiave per decriptare i files dati.

Qui vediamo la versione in lingua italiana del file htm di istruzioni


Una distribuzione Ransomware quindi attiva e abbastanza pericolosa vista la cura posta nel clonare il reale sito SDA per proporre il download dell'eseguibile malware, pagina che potrebbe trarre in inganno chi seguisse il link in mail.

Questo un link a  sito in lingua inglese con altri dettagli riguardo a malware Ransomware. http://www.bleepingcomputer.com simile a quello analizzato nel post.

Edgar

venerdì 28 novembre 2014

Gentile cliente Abbiamo tentato di consegnare il tuo articolo. Ennesima mail con allegato malware fatta passare, questa volta, per comunicazione FedEx (28 novembre)

Poche righe per descrivere l'ennesima distribuzione di malware attraverso allegato mail fatto passare per documento relativo a spedizione effettuata tramite il servizio offerto da Federal Express.


Come si vede, contrariamente agli ultimi casi esaminati abbiamo un lungo testo, scritto comunque in un italiano poco corretto.
Tra l'altro anche l'oggetto mail  non pare essere molto collegato ai contenuti del messaggio in quanto presenta solo 'Young, Tad S. agent company FEDEX'

In compenso nel testo risulta la data odierna in … “Abbiamo tentato di consegnare il tuo articolo il 28 novembre 2014, ... “ , cosa che dovrebbe aumentare la credibilita' della mail e che dimostra come lo spam sia attuale.

Uno degli IP presenti in header mail, quello di possibile origine del messaggio, parrebbe essere su range italiano


anche se le caratteristiche del testo in mail fanno piuttosto pensare a creatore del messaggio non italiano.

L'allegato e' un file .ZIP contenente un file eseguibile in formato .SCR. con data  odierna.


Questa volta chi gestisce lo spam malware non ha pero' provveduto ad aggiungere la doppia estensione fake al nome del file per farlo passare come documento in in formato PDF, di cui su scrive nel  testo mail …...Per scaricare la fattura commerciale, in formato PDF, necessario per la riconsegna, scaricare il file:…................

Tutto sommato quindi uno spam non molto curato nei dettagli il cui maggiore pericolo potrebbe venire per la maggior parte, dal quasi nullo riconoscimento dei contenuti malevoli nelle prime ore di distribuzione della mail


basso riconoscimento che anche dopo qualche ora dalla prima analisi Virus Total risulta comunque ancora molto ridotto.


Edgar