sabato 19 aprile 2014

Virus Alert! from 'Tiscali Mail Admin'. Fake mail allo scopo di sottrarre credenziali di login ad utenti Tiscali Mail.

Non e' una novita' il tentativo di sottrarre credenziali di accesso a webmail gestita da Tiscali come ad esempio spiegato in questo vecchio post del 2011.
Le mails odierne sono in lingua inglese e presentano un testo che informa di accessi alla nostra mailbox da una diversa localita' rispetto alla nostra abituale da cui accediamo alla rete.


Come sempre si potra' bloccare le visite fraudolente al nostro account loggandosi attraverso il form proposto nel link in mail.
Da notare come l'oggetto mail porti invece il testo 'virus alert'

Gli  headers mail presentano IP


tra cui 2 argentini che coincidono anche con il dominio usato per indicare la mail del mittente (.AR)
Il link punta a questo fake form Tiscali 


con la presenza di logo Tiscali simile a quello originale.
Il form e' hostato su  webs.com


cosa che permette la creazione di url ingannevole con incluso il nome Tiscali.

Il form effettua solo un piccolo controllo sulla presenza o no dei dati ma ad esempio la verifica della password non e' implementata, accettando il campo di conferma, qualsiasi stringa casuale di caratteri.
Da notare poi come il testo del campo utente sia in italiano “nome utente' mentre la password veda testo errato come “Confirm Paswold “

Una volta confermati i dati viene linkata a questa pagina che mostra


Edgar

giovedì 17 aprile 2014

Ancora malware per utenti IT della rete (16 - 17 aprile)

Nuovamente una distribuzione malware 'dedicata' ad utenti IT della rete e che viene attuata tramite il consueto messaggio mail con link a malware.

Il caso odierno vede questa mail, dal testo molto semplice


e che vorrebbe far credere che e' disponibile una risposta ad una nostra domanda fatta su un non meglio identificato forum.
Da notare come si inviti a scaricare il file presentando in messaggio mail un indirizzo che appare non cliccabile (quindi copia e incolla da parte di chi avesse ricevuto la mail e volesse seguirne le indicazioni)
Una analisi degli headers mail mostra un buon numero di IP di riferimento per il 'percorso' seguito dal messaggio.


Il file ZIP contenente il codice malevolo e' hostato su sito IT probabilmente compromesso


con whois


Si tratta di file ZIP dove vediamo ritornare l'utilizzo della tecnica del nome di file con lunga sequenza di _ (caratteri underscore) allo scopo di mascherare la reale estensione del file (eseguibile EXE).

In pratica l'utente che apre lo zip vede


mentre il file e'     


con estensione .EXE

Una analisi VT  mostra come sempre basso riconoscimento nelle prime fasi della 'distribuzione' malware


VT mostra data e time recente quale statistica delle analisi malware riferite al file ZIP


Edgar

domenica 13 aprile 2014

Phishing Apple IT (12 aprile)

Anche se non diffuso come ben noti phishing, ad esempio quello PayPal, il phishing Apple, specialmente negli ultimi mesi, risulta ben presente in rete.
Si tratta di cloni che sono quasi esclusivamente in lingua inglese ma, come vedremo, i phisher propongono a volte fake pagine in altre lingue tra cui quella italiana.
Ecco infatti una attuale mail di phishing ai danni di Apple IT, che mostra un aspetto grafico ben curato ed in linea con la grafica proposta dalle legittime pagine Apple.


C'e' pero' da dire che, anche se il layout e' molto simile alle reali pagine Apple, lo stesso non si puo' dire per lo specifico testo mail, scritto in un pessimo italiano .
Il messaggio e' il consueto avviso di scadenza del proprio account (in questo caso iTunes) e cerca di convincere chi ricevesse la mail a loggarsi al fake sito Apple.

La mail presenta header con IP come


e propone un link che tramite redirect su 


punta al clone Apple in lingua italiana.

Il dominio appare creato da pochi giorni probabilmente al solo scopo di hostare il clone Apple


I riferimenti IP dell'header, l'IP whois e i nomi del registrant fanno pensare ad origine francese per questo phishing.

Questa la sequenza del phishing che vede il clone con prima pagina


e che in dettaglio


evidenzia come lo scopo principale sia quello di acquisire le credenziali di carta di credito, ma non solo.
Segue infatti questo fake form che acquisisce sia indirizzo email che altri dati anagrafici e di residenza di chi cadesse nel phishing


per terminare poi con questo ulteriore form con altri dati personali richiesti tra cui il codice fiscale e dati specifici dell'account Apple


La sequenza termina con una fake attesa che vorrebbe simulare una qualche verifica in corso da parte del sito Apple e con testo “Essere controllati” frutto di probabile traduzione automatica.


Segue un ultimo messaggio di conferma del corretto invio delle informazioni e del successo della verifica


per venire poi rediretti al legittimo sito Apple.



Edgar