lunedì 31 marzo 2008

youutubee.com

Si tratta di un altro sito che imita youtube ma a differenza di altri siti fake di youtube presenti in rete, la pagina non propone contenuti per adulti ma filmati di altro genere.

Rispetto al noto e diffusissimo 'porn tube' mostra un layout forse ancora piu' curato nel cercare di ingannare chi lo visita, tranne che per l'assenza del logo di Youtube in alto nella pagina.
In questo caso si tenta di invogliare a caricare un plugin necessario per la visualizzazione di filmati relativi alla attuale situazione in medio oriente.

Il falso plugin viene scaricato da un altro server , anche lui hostato in USA:


Si tratta di un file exe di dimensioni ridotte
che chiaramente per essere scaricato necessita' del realtivo referer

In realta' il plugin non e' altro che malware, come vediamo da una analisi con Virus Total.
Ancora una volta il malware presente su questi falsi siti di video online, viene riconosciuto da pochi software antivirus:


Il falso sito di youtube e' hostato, in compagnia di altre centinaia di pagine con contenuti per adulti e di dubbia affidabilita' su un serve appartenente a:

provider USA gia' noto per ospitare siti pericolosi.

Edgar

Caso limite

Capita ormai quotidianamente, se si eseguono ricerche in rete, di imbattersi in siti che hanno subito hacking in maniera piu' o meno "approfondita".

Si va da semplici pagine che sostituiscono la home del sito oppure in molti casi abbiamo pagine inserite all'interno del sito in un folder secondario come questa:


Si tratta di una attuale pagina di hacking di un sito (su dominio .it) di studio di commercialisti .

Anche se meno visibile, della compromissione della homepage, questo caso tuttavia e' forse piu' pericoloso in quanto e' molto probabile che l'attacco passi inosservato a chi amministra il sito o a chi lo utilizza permettendo ai malintenzionati ad esempio di inserire e sfruttare queste pagine di hacking quale supoporto per azioni di phishing .

Certe volte pero' si arriva a casi limite che sono il massimo nell'evidenziare l'insicurezza di certi siti o server web

Quella che vedete qui sotto e ' la 'homepage' attuale che compare collegandosi ad un sito su dominio .IT.


Come si vede abbiamo una shell di comandi, che appare a chiunque richiami il sito dal browser e che permette di eseguire praticamente qualunque operazione sui contenuti del sito stesso.
In questo modo chi ha eseguito l'hacking rende tutto il contenuto online e modificabile da chiunque visto che questa shell presenta, tra l'altro, una grande facilita' d'uso e non richiede conoscenze particolari.

Edgar

Phishing Ebay IT

Capita raramente, ma ogni tanto ricevo anche mails di phishing ai danni di Ebay It

Questa arrivata oggi


e' hostata su un sito, probabilmente compromesso, di musica in lingua spagnola il cui whois punta in USA.

Questo il folder che contiene parte della pagina di phishing che sembra comunque abbastanza semplificata in quanto non parrebbe effettuare alcuna verufica sui dati inseriti accettando anche tutti i campi di input completamente vuoti.

Edgar

Phishing Poste.it = red.html

Altra mail di phishing con link 'intermedio' a red.html che dimostra come ultimamente la quasi totalita di mails ricevute, ai danni di Poste IT, utilizzi questa tecnica.

Sia il server che hosta il file red.html che il sito di phishing a cui si viene reindirizzati puntano a server in Belgio.


Nel folder sul server che contiene il file red.html e' presente questo messaggio

indice che si tratta di sito compromesso sfruttato allo scopo phishing.


Per il resto si tratta sempre della solita mail 'standard' di phishing con il messaggio di vincita di un bonus costituito da una immagine gif che mostra il testo del messaggio ed il logo PosteIT.

Il link al file red.html e' il seguente http://sculling.be/CMS/red.html ed a sua volta redirige al sito di phishing (sempre whois in Belgio) http://klankmannen.be/tcpro_old/www.poste.it

Vedremo se all''eventuale messa offline del sito di phishing sul presente server che ospita le false pagine di Poste IT seguira' la contromossa della modifica del link inserito in red.html per riattivare la pagina di phishing su altro server.

Edgar

venerdì 28 marzo 2008

Aggiornamento phishing Poste.IT Conferma utilizzo indirizzo server phishing 'variabile'

Riesaminando il link presente nella recentissima mail di phishing Poste IT c'e' la conferma che si sta utilizzando la periodica variazione del link del server che hosta il sito di phishing.
Si tratta indubbiamente di una novita' rispetto a precedenti messaggi di phishing che di solito utilizzavano un unico link a server e che rimanevano ONLINE a volte solo poche ore prima di venire messi OFFLINE.

La novita' e' che adesso seguendo il link presente nel messaggio della mail di phishing, http://selner.ru//img/upl/pp/red.htm il file red.htm reindirizza su un diverso sito con whois USA rispetto a questa mattina e precisamente http://www.capital-strategy.be//generator/files/sss/login.html.

Evidentemente si sta utilizzando la possibilita' di modificare periodicamente il codice del file red.htm per servirsi di piu' server, probabilmente compromessi, su cui viene caricato il sito di phishing.

Questa operazione rende molto piu' lunga la 'vita' della mail di phishing in quanto appena un server viene bonificato dal codice di phishing si procede attivando un link ad un'altro con la sola semplice modifica al codice red.htm.

Inoltre viene ridotta la probabilita' che venga segnalato il pericolo phishing poiche' ci troviamo di fronte ad una continua variazione del dominio che hosta il sito fasullo di Poste IT.

Aggiornamento 29/3 ore 16.30 (10.30 it)

Adesso cliccando sul link presente in mail si viene reindirizzati sulla homepage del sito che al momento era utilizzato per hostare il sito di phishing.

Probabilmente i gestori del sito hanno preso provvedimenti bloccando la pagina di phishing in quanto anche se red.htm continua a rediriger su /files/sss/login.html (login page del falso sito Poste IT) in realta il link non funziona piu' e si viene reindirizzati sulla home page di http://www.capital-strategy.be.

Vedremo se chi 'gestisce' il phishing ai danni di Poste.IT cambiera' nuovamente link in red.htm e relativo server.

Aggiornamento 29/3 ore 19.00 (13.00 it)

Come previsto adesso red.htm redirige su un altro server, sempre whois USA, che ora ospita il sito di phishing Poste IT ONLINE e precisamente:
http://www.myinternettutor.com/website-design/admin/assets/sss/login.html

Il subfolder usato e' sempre il solito /sss/login.html come nel precedente sito di phishing.

Continua, come si vede, il 'botta e risposta' tra chi linka il sito di phishing e chi lo mette offline.

Fino a che il link principale (whois .ru) presente in mail di phishing continuera' ad essere attivo ed hostare red.htm penso che assisteremo ancora ad altri cambi di indirizzo server.

Aggiornamento 30/3 ore 08.00 (03.00 IT (con ora legale in IT -5 ore al thai time ))

Il file red.htm hostato su http://selner.ru//img/upl/pp/red.htm e' OFFLINE.
A meno che non venga riattivato il link a red.htm il phishing derivante da questa mail si puo' considerare concluso.

Sara' interessante vedere se, in futuro, questa tecnica di utilizzare link variabili per gestire links a siti di phishing verra' nuovamente adottata.

Edgar

Phishing Poste IT 28 marzo con sorpresa

Arrivata nuova mail di phishing ai danni di Poste It
Questo il source del messaggio

che sembra molto simile ad alcuni gia' ricevuti come il testo all'inizio del messaggio "...da fare...." e l'immagine del logo Poste che viene anche questa volta caricata da server italiano.
Inoltre si usa sempre un link intermedio tramite il file red.htm (su sito .ru) che forse questa volta ha rivelato uno dei suoi possibili utilizzi.

Questo perche' dal sito .ru che si vede nel source , ad una prima analisi sono stato reindirizzato sui sito www.isoleverginiusa.it, hostato su server italiano di cui vedete il whois

Il sito di phishing si presentava OFFLINE e la home del sito Isoleverginiusa presenta tuttora testo "Sito web in manutenzione".

Dopo qualche minuto, ripetendo una seconda volta il check del link presente sulla mail di pishing, con sorpresa il falso sito Poste It ha iniziato a funzionare ed esaminando l'url questa risultava diversa dalla precedente.
Ora ,con l'ausilio di red.htm che evidentemente e' stato modificato, il server del sito di phishing Poste It ha whois in USA.

Da tutto questo si potrebbe dedurre che lo scopo di avere un passaggio attraverso il file red.htm e' anche quello di poter commutare tra piu' server che hostano il sito di phishing senza dover cambiare le mails che rimangono quindi sempre attive.
Infatti basta cambiare il link nel codice di red.htm per reindirizzare sul sito di phishing al momento ONLINE ed evitare cosi che lo stop di un server magari perche' scoperto compromesso, blocchi tutta l'operazione. Inoltre si eludono meglio eventuali controlli sull'indirizzo di phishing.

Per confermare questo, sarebbe interessante verificare se http://selner.ru//img/upl/pp/red.htm
continuera' a reindirizzare in futuro su server USA o magari commutera' ad altro server quando ci fossero problemi.

Edgar

mercoledì 26 marzo 2008

Firefox 2.0.0.13 Release Date:March 25, 2008

Disponibile l'aggiornamento Firefox alla versione 2.0.0.13.

Edgar

Curiosita'

Questa mattina visitando il blog GNUCITIZEN e piu precisamente caricando il post The 10.000 Sites JS Malware Source Code Leaked


avendo NOD32 attivo il risultato e' questo:


Da una veloce prima analisi la spiegazione potrebbe essere pero' abbastanza semplice.

L'autore ha riportato sul blog un sample del codice malevolo di cui parla nel post.
NOD32 evidentemente rileva il codice nella pagina e segnala la presenza del pericolo.

Edgar

martedì 25 marzo 2008

Piccola rassegna aggiornata di siti .IT compromessi

Nota:
Ricordo, per chi ancora non ne fosse a conoscenza, che tutte le informazioni riferite a siti compromessi che appaiono sul blog sono disponibili in rete sia da fonti pubbliche che come risultato di una normale navigazione Internet, attraverso l'uso di un comune browser a volte utilizzato in unione ad un altrettanto normale motore di ricerca (Yahoo, Google, Microsoft Live Search..ecc.).

Vediamo una piccola rassegna aggiornata di siti su dominio IT, per la maggior parte di Comuni, che presentano attualmente la home page sostituita da pagina di hacking oppure pagine interne al sito con contenuti di hacking

Le videate mostrano la home del sito in cache del motore di ricerca(se non disponibile online) e la situazione attuale (sito compromesso), sperando che chi amministra i siti ne provveda a ripristinarne il corretto funzionamento in breve tempo.


1)

hacked
2)


hacked

3)


4)
hacked

5)

hacked6)

hacked7)

hacked
Come si vede, il problema dell'hacking continua ed anzi si espande dimostrando che, al momento, la percentuale di siti anche .IT potenzialmente vulnerabili e' sempre molto alta.

Ricordo che la pericolosita' di questi attacchi non e' solo nel fatto che mandano spesso OFFLINE il sito colpito, ma anche nella possibilita che i siti compromessi vengano utilizzati a supporto di pratiche ben piu' pericolose (spam, distribuzione di malware, host di siti di phishing ecc...)

Edgar

Aggiornamento phishing Poste IT 25/3

Nuova mail di phishing ai danni di Poste.IT con l'utilizzo dell'ormai consueto file red.htm per reindirizzare sul sito di phishing.

Vediamo direttamente il source della mail dove si notano:

1) l'utilizzo del dominio posteitaliene.it nell'indirizzo del mittente

Il dominio e' online su un IP che comprende decine di domini fake ...
Questa la pagina di posteitaliene.it (whois in Germania)

2) la presenza nel testo mail della frase 'DA FARE' che potrebbe far supporre ad una origine italiana del creatore del messaggio

3) il link del logo Poste IT presente nella mail che viene caricato da sito italiano Esnmilano che riguarda un network che si occupa degli studenti delle universita' milanesi

4) Il link al sito di phishing, presente in mail, su dominio (whois UK), che riporto come curiosita' visto l'argomento trattato, “Bonifica Termiti”, sito che evidentemente e' invece molto sensibile a bugs di tipo informatico....

come si vede dalla home page attuale

5) e da cui tramite un file red.htm si viene trasferiti su sito gia' utilizzato altre volte ( vedi post ) e che presenta nuovamente il file red.htm ed anche una pagina di phishing ai danni di yahoo mail.


E' interessante notare come l'utilizzo di siti compromessi sia sempre alla base di queste mails e come continui l'uso del file red.htm per redirigere sula falsa pagina di poste IT segno che per ora si sta forse sfruttando sempre lo stesso 'pacchetto' di codici e pagine di phishing ai danni di Poste Italiane.

Edgar

lunedì 24 marzo 2008

Scacchi e malware

I motori di ricerca, e non solo Google, permettono a volte di trovare situazioni di siti compromessi che sono veramente al di fuori di ogni logica.
In effetti viene il dubbio, vendendo la quantita' di links restituiti dalla ricerca sul sito preso in esame oggi, che veramente si tratti di reali pagine php hostate sullo stesso e tutte che puntano al diffusissimo sito di contenuti porno Porntube che distribuisce varianti del malware ZLOB.
Analizzando comunque gli IP coinvolti seguendo i links proposti dal motore di ricerca, questi corrispondono a quelli di questo sito italiano sul gioco degli scacchi che appare quindi, suo malgrado, utilizzato per linkare malware.

Questo sito compariva gia' effettuando una ricerca generica in rete per siti su dominio .IT e contenenti il termine 'porn' che funziona sempre molto bene per trovare pagine compromesse e contenenti spesso link a malware.
Un secondo passaggio e' stato quello di affinare la ricerca utilizzando l'url del sito
'inurl:xxxxxscacchi.it'

il che ha portato a a quasi 5000 links.

La quantita' e' sembrata veramente alta per un sito di scacchi, anche se evidentemente molto visitato, ed a questo punto si e' provato a verificare un po di pagine di risultati , non le prime proposte dal motore di ricerca , ma le ultime e' c'e' stata una prima conferma.

Infatti come si vede compaiono nei link termini che hanno ben poco a che fare con il gioco degli scacchi anche se l'url punta sempre a www.xxxxscacchi.it con una sottopagina sempre /download/xyz.php dove xyz assume i testi piu' diversi

Cliccando su uno di questi link abbiamo, ad esempio un fake sito di ricerche ma non solo ....


Approfondendo ulteriormente al ricerca ed aggiungendo il solito termine 'porn' questa volta i link al sito di scacchi si riducono, si fa per dire , a circa 600.

Tutti i link trovati corrispondono a pagina php che parrebbe hostata all'interno del sito, cliccandoli si viene trasferiti al sito Porntube che tenta di scaricare una variante del malware ZLOB quando si cerca di visualizzare un falso filmato.


La possibilta' di vedere come e strutturata una di queste pagine php, che linkano a Porntube, ci viene offerta dall'uso della cache del motore di ricerca:

Si tratta dei soliti termini aggiunti per cercare di comparire ai primi posti di una ricerca in rete.

C'e' inoltre da dire che , se non e presente il referer della ricerca, ossia se cerchiamo di aprire uno dei link visualizzati dal motore di ricerca in una pagina a se' il risultato e' quello di pagina non trovata.

Inoltre, se proviamo a linkarci direttamente sul folder /download/ del sito di scacchi il risultato e' questo
poche parole ma che spiegano molto.


Sempre in riferimento a possibili attacchi subiti in passato, questo sito appare presente in un elenco di pagine compromesse pubblicato in rete.

dove si nota che risultano due attacchi di cui uno abbastanza recente.

Alcune considerazioni.

Sembra quasi impossibile che nessuna delle persone che visita il sito abbia mai provato ad eseguire una ricerca in rete e non si sia accorta del probabile problema delle pagine aggiunte e che linkano a Porntube.
Da parte sua il sito Porntube sta' in questi ultimi mesi aumentando la quantita' di pagine che lo linkano in maniera notevole.
Basti pensare che sfruttando solo questo siti di scacchi ci troviamo di fronte a 600 links solo per Porntube ma dei quasi 5000 visti nella ricerca generica per questa url sicuramente molti linkano a pagine dubbie e poco affidabili.

Alla base di tutto questo c'e' comunque sempre il fatto che molti siti .IT e altrettanti server web risultano poco sicuri ed espongono i loro contenuti ad essere facilmente attaccati da malintenzionati.
Una pratica che sembra destinata in futuro a diffondersi se non verranno presi opportuni provvedimenti.

Continua

Edgar

domenica 23 marzo 2008

Aggiornamento phishing 23/03

Continuano le mails di phishing ai danni di Poste IT e che utilizzano link intermedio a file red.htm.
Due nuove mail ricevute a breve intervallo di tempo una dall'altra.

La prima con Il solito messaggio

------------------------------------------------------------------------------------------------------------------------------------


Caro Cliente,

BancoPosta premia il suo account con un bonus di fedeltа pari a 140,00 Euro.
Per ricevere il bonus и necesario accedere ai servizi online.
Importo bonus vinto: 139,00

Commissioni: 1,00

Importo totale: 140,00
    Accedi ai servizi online per accreditare il bonus fedeltа »  

La ringraziamo per aver scelto i nostri servizi.


Distinti Saluti


BancoPosta

----------------------------------------------------------------------------------

contiene il solito link a file red.html hxxp://selner.ru//img/upl/red.htm
hostato questa volta su server russo e che redirige su sito Canadese di hockey.


La seconda mail presenta un testo tradotto o generato da un computer (al limite del comico) e link diretto al sito di phishing (sempre su sito evidentemente compromesso)

------------------------------------------------------------------
Caro cliente stimato,

Recentemente abbiamo determinato che il calcolatore differente
avesse annotato nel vostro client di operazioni bancarie in linea
ed i guasti multipli di parola d'accesso erano presenti prima degli
inizio attivitа.

Ora abbiamo il bisogno di riconfermare le vostre informazioni di
cliente a noi. Se questo non и completato all'interno di 48h, saremo
costretti a sospendere il vostro cliente mentre puт essere comrpomesso.

Vi ringraziamo per la vostra cooperazione in questa materia.
Accedi prego al seguente collegamento per completare la verifica:

https://bancopostaonline.poste.it/bpol/CARTEPRE/formsLOGIN.aspx/

Grazie per la vostra attenzione del promt a questa materia.
Capisca prego che questa и una misura di sicurezza significata
per contribuire a proteggere voi ed il vostro cliente.

Chiediamo scusa per eventuali inconvenienti.

Se scegliete ignorare la nostra richiesta ci non
lasciate scelta ma temporaneamente sospendere il vostro cliente.

Grazie di utilizzare Poste.it

-------------------------------------------------------------------------------

Il particolare inusuale e' cheil sito di phishing e' hostato su sito francese che reclamizza una societa' di telesorveglianza

Dalle ultime mails ricevute appare chiaro che si trovi 'on line' e che venga molto utilizzato adesso, un 'pacchetto' per phishing ai danni di Poste IT che utilizza red.htm come link intermedio.

Il fatto che le mails ricevute contengano testi approsimativi e comunque ormai noti dovrebbe a questo punto ridurre il pericolo che un gran numero di persone che le riceve cada nel tranello della falsa comunicazione di Poste IT.

Si evidenzia comunque come la possibilta' di trovare sempre piu' siti facilmente vulnerabili e soggetti ad hacking ne permetta un facile utilizzo per attuare tentativi di phishing.

Edgar

sabato 22 marzo 2008

Utilizzo del logo Google per pagine di rogue application antivirus

Sunbelt blog segnala la presenza in rete all'IP 24(dot)217(dot)251(dot)147 di una pagina che simula una scansione antivirus effettuata da Google ma che in realta' cerca di scaricare malware sul pc

Ls pagina fasulla ha hosting in Malesia e linka a questo trojan, peraltro poco riconosciuto dai softwares AV

Sembra che di solito questa pagina sia utilizzata da un altro trojan (Trojan.Delf from the Loadscc gang ) che una volt infettato il computer ne cambia l'host file per reindirizzare appunto su questo sito fasullo di Google Security.

Edgar

Phishing Poste IT

Periodo abbastanza ricco di mails di phishing ai danni di Poste IT

Qusta arrivata oggi e' costituita da un messaggio che invita a verificare il proprio conto che e' stato bloccato da Poste IT per motivi di sicurezza

Il testo della mail e' costituito da una immagine jpg scaricata da qui
hxxp://207.234.145.216/.poste.it/test2.jpg

Il link presente nel messaggio punta al 'solito' file red.html presente sullo stesso server
hxxp://207.234.145.216/.poste.it/Red.html

che reindirizza poi sul sito di phishing
hxxp://surususs.com.p4.hostingprod.com/online/personale/

Firefox evidenzia il pericolo phishing quando si carica la pagina del falso sito.

Entrambi i servers utilizzati risultano al whois in USA

Edgar

venerdì 21 marzo 2008

Un Museo di Storia Naturale.. ma non solo

Mi pare utile prima di iniziare questo post ripetere una premessa, gia' fatta altre volte, e cioe' che tutte le pagine visualizzate nel post sono raggiungibili da chiunque senza l'ausilio di nessun tools particolare, occorre solo un browser ed ovviamente una connessione Internet.
Questo per evitare che chi legge e non e' un conoscitore di Internet e/o di informatica pensi che stia utilizzando chissa' quali software di hacking; basta invece saper usare un normale motore di ricerca , magari sfruttando qualche operatore avanzato di ricerca messo a disposizione dallo stesso.

Detto questo vediamo la particolare situazione in cui si trova questi sito, relativo ad un Museo di Storia Naturale gestito, come appare nella home, da una nota Universita' Italiana.

Come succede ormai sempre piu' spesso, anche questo sito a subito un attacco informatico con upload al suo interno di una mole di dati tale che, ironia della sorte, sembrerebbe consona ad un Museo.
Sembra in altre parole una vera collezione di pagine con termini porno di varia natura e relativo link ad un motore di ricerca di contenuti per adulti

Vediamo qualche dettaglio:

Nel folder COLLEZIONI, lo dice il nome, sembra sia stata inserito un folder il 6 febbraio 2007 di nome INC con una collezione di pagine php di tutto rispetto

Una volta aperto, il folder ci mostra una notevole quantita' di sottocartelle , per la precisione 85


Ognuna di queste sottocartelle a sua volta contiene centinaia di files con codice php e dal nome che non lascia dubbi su cosa si tratti


Qui il contenuto di una di queste pagine


Il contenuto presenta testo chiaramente utilizzabile per facilitare ricerche in rete di pagine con contenuti porno

Le pagine, se gli script sul browser sono abilitati,


reindirizzano automaticamente su un sito di ricerche in rete a carattere porno.

Resta abbastanza inspiegabile coma possa succedere che si hostino, in questo caso, migliaia di pagine su un sito senza che nessuno se ne accorga.

Forse come mi scrive in una mail, l'amico Denis che cura un bel blog di Computer Forensics e Sicurezza bisognera' iniziare a scrivere qualcosa su come verificare, in maniera semplice e anche per i non addetti ai lavori, se il proprio sito presenti di questi problemi.

Edgar