sabato 31 maggio 2008

Curiosita' Google

Solo come curiosita' per dimenticare per un attimo malware, virus e problemi collegati.

Come si vede, da ieri, Google ha cambiato la sua 'favicon' da cosi'

a cosi'


A me e' subito venuta in mente la pubblicita dell'azienda immobiliare italiana Gabetti


a parte il colore la somiglianza e' notevole


Edgar

Logid83(dot)com

Sfogliando i numerosi siti ancora compromessi su dominio .it segnalo questo script con link a logid83(dot)com che contiene script sicuramente pericolosi

La particolarita' di questo indirizzo a cui punta lo script e' che non sembrerebbe praticamente indicizzato da motori di ricerca in quanto. ad esempio una ricerca su google. porta a questo risultato.

Al momento non sembrerebbero esserci siti che contengono il link a logid83 al di fuori di questo che vedete su dominio .it
Anche una ricerca su siti di blacklist di indirizzi da bloccare non porta a trovare riferimenti a logid83(dot)com.

Logid83 e presente comunque anche sul sito della Casa-Museo del noto direttore di orchestra italiano Arturo Toscanini


che al suo interno mostra oltre ai numerosi links a adw95 2 soli collegamenti a logid83


Una analisi della homepage dimostra infatti la presenza oltre che a decine di links a adw95. al momento inattivo. a due soli links a logid83

Un report complessivo del sito mostra comunque la solita grande quantita' di scripts scaricati.

Ma relativamente pochi (2 per pagina ) sono i links a logid83(dot)com.

Lo script che punta a logid83 carica a sua volta un altro script che reindirizza a refer68(dot)com

Sia logid83 che refer68 sono hostati su probabile botnet in fastflux come si vede da un nslookup che mostra un TTL di soli 10 minuti


Anche in questo abbiamo indirizzi ip che variano in continuazione.


Edgar

venerdì 30 maggio 2008

Siti come 'Scatole cinesi'

'Con la locuzione scatole cinesi si indica una collezione di scatole di grandezza crescente, che possono essere inserite l'una nell'altra in sequenza.' ( fonte Wikipedia )

Nel nostro caso invece la struttura a scatole cinesi si adatta benissimo al sito che andremo ad esaminare e il cui indirizzo e' risultato dell'analisi di uno dei tanti guestbooks online appartenenti ad un sito di Pubblica Amministrazione che, come gia' scritto in precedenza, costituiscono una inesauribile fonte di links aggiornatissimi sulle ultime novita' a pagine con malware, links a malware ecc...

Questo il guestbook in questione dove si nota la presenza di un post recentissimo (ieri 29 maggio) e quindi probabilmente aggiornato con le ultime novita'

In effetti cliccando sul link si viene portati su questo sito

di cui vediamo anche un'altra pagina

che vuole imitare un portale di ricerche online che si occupa di software anitvirus e antimalware e sul quale sono presenti decine di links certamente tutti poco affidabili.
La struttura e' costituita da decine di pagine linkate sia tra loro che con diversi altri siti.

Fino a questo punto la cosa sarebbe di ' normale amministrazione ', in quanto di siti creati per far caricare a chi li visita pagine di dubbia attendibilita' ce ne sono in giro parecchi anche su domini .IT ma questa volta abbiamo l'ulteriore sorpresa

Il sito infatti non e' hostato su un proprio dominio ma e' 'incorporato', chiaramente in maniera ben nascosta, all'interno di un sito di Agriturismo calabro, come in un “gioco di scatole cinesi'
Questa la homepage dell'Agriturismo che hosta, suo malgrado, il falso sito di softwares antimalware ed antispyware.

E questa una parte dei link contenuti all'interno di una delle decine di pagine del sito fasullo

dove in rosso possiamo vedere i links ad altri siti mentre in giallo i links per caricare le altre decine di pagine che lo costituiscono, tutte rigorosamente ospitate sul sito dell'Agriturismo calabro.

Edgar

Phishing e file zip

Ricevute tre nuove mails di phishing rispettivamente 2 ai danni di Paypal.it e una ai danni del gruppo Bancario UBI

A parte il solito tentativo di phishing che cerca di far loggare sul falso sito chi riceve la mail, vale la pena analizzare due di questi siti che presentano alcune sorprese

Il primo e' relativo alla falsa mail di QuiUbi
Questa e' la homepage di phishing hostata su server in USA


E' interessante notare la struttura del sito stesso che riporta nel folder DAPTRERT la pagina di login

ma che in un folder di livello superiore a questo riporta anche un login ad un sito di phishing

ai danni di yahoo mail


Molto piu' interessante e' invece il phishing ai danni di Paypal

che sembra essere ospitato su un sito di universita' della Mongolia (Ulanbaatar (la capitale),

anche se hostato su dominio della Corea.(KR)


Questa volta chi ha creato il sito di phishing su questo server ci ha messo a disposizione, sicuramente senza volerlo, il modo di analizzarne nei dettagli la struttura completa
Per prima cosa possiamo vedere che il sito di phishing e' contenuto in un folder creato appositamente in data recente

ed esaminandone il contenuto si nota la presenza del file ppit.zip

che scaricato ed aperto dimostra di essere la copia compressa del sito di phishing molto probabilmente utilizzata per l'installazione dello stesso


Analizzando il contenuto del file zip, tra le altre cose, notiamo il file samris.php

che contiene le istruzioni utilizzate per creare ed inviare i dati sensibili catturati dal sito di phishing ad una mail @gmail creata appositamente allo scopo ed anche un file immagine che, come vedremo, riproduce una falsa captcha che verra' utilizzata al momento della acquisizione dei nostri dati riservati per aumentare la credibilita' dell'operazione

Inoltre nello zip possiamo vedere tutta la struttura del sito di phishing con i relativi files html e php necessari al suo funzionamento

Sullo stesso folder abbiamo inoltre la presenza del file loginsecure.htm che punta ad altro server che hostava sito di phishing ma che ora e' offline (e' presente una scritta di avviso che informa del blocco della pagina in quanto phishing) ed inoltre il folder secure.acc che contiene l'attuale falso sito di Paypal.it

Questa e' la pagina di acquisizione dei dati riservati

che come vediamo ci mostra la falsa captcha, che in realta' non e' altro che il file immagine visto prima e che e' stato messo li solo per cercare di ingannare maggiormente chi immette i propri dati nel form.

Tra l'altro se si clicca sulla piccola icona dell'altoparlante viene scaricato un file wav dal sito originale Paypal che riproduce , in inglese, il testo della falsa captcha
Questo e' possibile perche' chi ha realizzato il sito di phishing ha provveduto a salvare nel sorgente della pagina il codice

che carica un file wav esattamente corrispondente alle lettere presenti nella captcha.

Edgar

giovedì 29 maggio 2008

Sito bonificato ma nuovamente e ripetutamente colpito ?

Mi riferisco al sito del Comune di Grugliasco che era stato uno dei primi ad essere segnalati durante l'attacco del 10 maggio scorso, nuovamente compromesso dopo la probabile bonifica degli script qualche giorno fa, ribonificato e oggi ancora colpito dal massiccio upload sulle sue pagine di nuovi scripts che linkano a dota11(dot)cn.

Da una analisi della struttura del sito e delle pagine coinvolte su alcune siamo a livelli da “guinness dei primati' come numero di scripts scaricati che appaino in piu' di 2500 (duemilacinquecento scripts) !!!

Proprio una di queste pagine pesantemente attaccate presenta a differenza di altre, gli script non visibili in chiaro

ma nascosti nel codice.
Mentre al homepage e' nuovamente invasa dagli scripts che ne modificano il layout.


Il link indicato negli scripts e' attivo e carica m.js di cui vediamo il codice

Interessante notare che questa volta anche per chi carica lo script su computer con browser in lingua cinese viene attivato un link contrariamente ad uno script precedente (denominato sempre m.js) dove chi utilizzava linguaggio cinese non veniva coinvolto nel caricamento di pagine con exploit.

I links portano alle solite pagine contenenti exploit assortiti e probabilmente anche quello che sfrutta vulnerabilita' di adobe flash palyer anche se non nell'utima versione rilasciata.

Il dubbio che sorge e' che a questo punto, il tentativo di scaricare script java pericolosi sul sito , sia sempre attivo ed approfitti di vulnerabilita' non ancora patchate per 'aggiornare' nuovamente le pagine gia' colpite.
In pratica chi esegue gli attacchi potrebbe essersi creato un database di urls vulnerabili e ciclicamente provare a 'riaggiornarle' con un nuovo upload di javascript che linkano a malware

Aggiornamento 29 maggio ore 18.46 (13.46 in Italia)

Il sito e' stato bonifcato dagli scripts che puntavano a dota11.


Edgar

Flash "0-day exploit". Ridotto il livello di allerta per chi usa l'ultima versione del player.

Si e' scritto molto in questi ultimi giorni della vulnerabilita' Flash che ha colpito migliaia di pagine web attraverso uno dei tanti attacchi a cui assistiamo ormai quasi ogni giorno
Il tipo di vulnerabilita' riscontrata sembrava, ad un primo momento colpire tutte le versioni del noto player , prospettando una vulnerabilta' di tipo “0 day”
In realta' da poco Symantec ha aggiornato il livello di allerta che inizialmente era stato elevato abbassandolo a livello 1.
Come scrive ora Symantec infatti:

..The DeepSight ThreatCon has been lowered to Level 1. The malicious SWF file found in-the-wild has been found to affect Adobe Flash Player 9.0.115.0 and earlier, not the latest version 9.0.124.0. .......

La vulnerabilita' sembra non coinvolgere l'ultima versione 9.0.124.0 di Flash Player ma solo la 9.0.115.0 e precedenti

Per verificare la versione che avete installato potete connettervi a questa pagina Adobe che visualizzera' la versione installata sul PC

Comunque, come si era suggerito da piu' parti in queste ore, l'uso di Noscript per chi usa Firefox puo' sempre servire per disabilitare Flash sui siti di dubbia attendibilita' ed evitare eventuali sorprese.

In ogni caso e' sempre bene ricordare che tenere aggiornate le applicazioni che si utilizzano all'ultima versione disponibile e con le eventuali patch rilasciate, e' indispensabile, specialmente ora, visto che in rete le pagine con problemi malware di vario genere si contano a migliaia.

Edgar

mercoledì 28 maggio 2008

Phishing vario e mail pericolosa da cestinare

Ricevute alcune mail di phishing ai danni di CartaSi, Paypal Italia e gruppo bancario UBI

L'unica mail che linka a sito di phishing ancora attivo e' quella di Qui Ubi il cui messaggio e' costituito da una unica immagine che contiene il testo del messaggio, loghi ecc... ed il link


con whois


(si tratta di IP appartenente a hoster con ranges gia' presenti in blacklist di IP da bloccare)

che a sua volta redirige su altro sito dal whois

La pagina del sito russo finale che contiene le pagine di phishing QUI UBI , tradotta da Goggle, sembra indicare trattarsi di universita' russa con sede a Murmansk.


Oltre alle 'consuete' mail di phishing e anche arrivata, per la seconda volta, la mail con allegato malware, ormai nota, ad oggetto 'occhio ti hanno scoperto' e di cui avevo gia' scritto in questo post.

Il contenuto malware del file zip sembra identico al precedente e comunque la maggior parte degli antivirus rileva il pericolo.

In ogni caso porre sempre la massima attenzione prima di aprire allegati e lanciare files eseguibili ricevuti via e-mail.

Edgar

martedì 27 maggio 2008

Ancora b.js

Anche se sono passati parecchi giorni dall'attacco portato a numerosi siti, anche italiani, rimangono molte le pagine su dominio .IT che contengono il pericoloso script b.js.

Al momento attuale il sito adw95 linkato da uno dei due script che eseguono b.js e' online mentre banner82 sembra adesso offline.

Rimane anche da chiarire il fatto che una ricerca in rete porti ogni giorno alla scoperta di nuove pagine che contengono lo script b.js anche se questo potrebbe spiegarsi con il tempo necessario ai motori di ricerca per visitare i siti ed indicizzarne il contenuto a distanza di giorni dall'attacco.

In ogni caso una lista, parziale, dimostra che le pagine in rete con lo script che linka a b.js sono ancora parecchie anche per i domini .IT


Ed ecco una rassegna di alcune pagine di siti attualmente con il problema script b.js sempre su dominio .it, ed il cui numero totale si puo' stimare per difetto in ancora qualche centinaio.


La pagina di una USL

ed il codice relativo


un sito di areredamenti con lo script in chiaro

ed un sito di vendita hardware e il relativo codice

un sito di Pubblica Amministrazione (Brescia)


ed il codice relativoed ancora altre pagine dai contenuti dei piu' vari e tutte con b.js presente nel codice come si vede dall'avviso dell'addon JSView in Firefox






Edgar