venerdì 29 maggio 2009

Ancora phishing Intesa San Paolo (29 05)

Veramente elevato il numero di mails di phishing ricevute ai danni di Intesa San Paolo.

Ecco la nuova mail ricevuta questa mattina (ora thai)

Il link presente, dopo redirect su questo sito thai, compromesso

gia' utilizzato in passato per il medesimo scopo, punta al sito truffa

locato in


Questo un dettaglio della pagina di phishing (anche questa volta viene proposto il login alla verifica dei movimenti contabili della carta di credito)

e dove possiamo notare, facendo un confronto con i siti di phishing San Paolo precedenti,

la medesima struttura dell'indirizzo web nella parte relativa alla pagina caricata

Questo confermerebbe la probabile creazione dei siti visti in questi giorni ai danni di Intesa San Paolo , con lo stesso 'KIT' di phishing.

Edgar

giovedì 28 maggio 2009

Ancora phishing Banca Intesa San Paolo

Come gia' rilevato in precedenza stiamo assistendo ad un invio notevole di mails di phishing ai danni sia di CartaSi che di Intesa San Paolo

Anche oggi, infatti, e' arrivata l'ennesima mail ai danni del gruppo bancario italiano Intesa San Paolo.


La mail scritta in un italiano non corretto presenta alcune particolarita' interessanti che dimostrano come il numero di siti di phishing creati in rete ed ai danni di Intesa San Paolo sia alto.

Se analizziamo il source in mail possiamo notare che oltre che al link,

questa volta senza redirect, al sito di phishing

e con whois tedesco
compaiono anche due link ad immagine gif che rappresenta il logo della banca e che e' ospitata su questo sito della Corea probabilmente compromesso

Sullo stesso sito e' pero presente non solo l'immagine gif utilizzata in mail, ma tutto un sito di phishing come si vede da questo screenshot,


Inoltre, sul medesimo sito, eseguendo qualche ricerca appare anche questa pagina


che potrebbe indicare l'utilizzo del software HTTrack per acquisire una copia del sito originale Banca Intesa.
Infatti utilizzando il software free HTTrack e' possibile eseguire la copia di un sito online, sito che poi viene presentato da HTTrack nella sua pagina di avvio proprio come quella che vediamo ora sul sito contenente il phishing.

Edgar

Altri siti DotNetNuke con problemi ed alcuni nuovamente colpiti

Una sessantina di siti IT rilevati da un reverse IP su

presentano questa mattina (ora thai) l'inclusione di un TXT con le seguenti caratteristiche

Questo un parziale report Webscanner che rileva la presenza del TXT incluso

Ecco invece una buona parte dei siti di Amministrazione Pubblica gia' colpiti recentemente (questo il post)

che ripresentano il medesimo problema ma con differente file TXT incluso

Edgar

mercoledì 27 maggio 2009

Malware assortito (aggiornamento 27 maggio 09)

Ricordo sempre che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti in questione se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!


Sempre molta attivo l'utilizzo di forum .IT per diffondere malware attraverso l'utilizzo d falsi post che propongono, insieme a foto porno, anche links a falsi players video in realta' eseguibili malware.

Da notare he che sullo stesso post sono pure presenti centinaia di links ad altri forum con il medesimo problema e questo per aumentare la possibilita' di diffusione in rete di links a queste pagine pericolose attraverso l'indicizzazione effettuata dai motori di ricerca.

Ecco uno dei tanti forum .IT con posts aggiornati ad oggi

che propongono tutti dei links a questa pagina, dal ben noto layout, con falso player video

cliccando sul quale viene proposto il download di un eseguibile malware che da un report VT appare praticamente sconosciuto ai piu' comuni software AV. almeno per quanto si riferisce alla scansione on-line.

Anche se molto probabilmente altri softwares antivirus che appaiono non attivi nel report VT potrebbero bloccare la minaccia quando il file venisse eseguito sul proprio PC, rimane comunque il fatto che si tratta di un codice che viene continuamente aggiornato per eludere il piu' possibile eventuali controlli AV.

La provenienza del file eseguibile risulta essere una delle piu' comuni per questo genere di malware e precisamente un paese dell'Est Europa.

Edgar

Phishing 27 maggio 09

Sembra che lo spam in generale, ma in particolare il phishing ai danni di istituti bancari italiani quali CartaSi ed Intesa San Paolo, sia in aumento, rispetto al passato.

Le due mail che vediamo ora hanno analogie con quelle ricevute ieri sia per il tipo di pagina visualizzata per Intesa San Paolo (login a verifica saldo carta di credito) che per la locazione finale del sito di phishing CartaSi (Taiwan).

Ecco la mail di phishing relativa a CartaSi

Il link presente in mail punta a sito compromesso (ci sono almeno tre pagine index1 index2 e index3 che contengono il codice) che effettua un redirect automatico a

Anche questa volta si tratta di sito compromesso

locato in Taiwan


Questa invece la mail ai danni di Intesa San Paolo

che contiene invece un link a sito locato in

Edgar

martedì 26 maggio 2009

Phishing CartaSI ed Intesa San Paolo (26 maggio 09)

Ricevute 2 nuove mails di phishing ai danni rispettivamente di CartaSi ed intesa San Paolo.

Una particolarita' che collega le due mails consiste nel fatto che entrami i siti di phishing sono raggiunti tramite un redirect da sito thailandese e precisamente a questo whois


Questa particolarita' potrebbe anche significare l'origine comune delle due mails truffa.

Un particolare che dovrebbe mettere in allerta chi ricevesse le mails di phishing e' che il testo , specialmente nella seconda, e' scritto in un italiano abbastanza 'traballante'

Ecco quella relativa a CartaSI

che linka a sito thai compromesso dove e' ospitato questo codice



che redirige su sito ci phishing che parrebbe essere ospitato su altro sito compromesso locato in Cile
Al momento il sito di phishing risulta comunque OFFline

La seconda mail di phishing e' invece ai danni di Intesa San Paolo

Il link presente punta, anche questa volta al medesimo sito compromesso, locato da queste parti (Bangkok)
e redirige su sito compromesso in Taiwan

con whois

che ospita questa pagina di phishing

che , a differenza del consueto login al sito della banca, mostra la pagina di login per la verifica dei movimenti contabili sulla nostra carta di credito.

Dopo il login si viene rediretti al reale sito di Intesa San Paolo

Edgar

Il ritorno della 'GENTE ASTUTA”

Ritornano a diffondersi mails di spam come quella ricevuta ieri, che ricercano 'Gente astuta'


proponendo facili guadagni a fronte di semplici attivita' eseguite da casa con l'ausilio del pc.

Inutile ricordare che si tratta di mails truffa che di solito sono collegate ad azioni di riciclaggio di denaro od altre attivita illecite...

Una ricerca in rete rileva che veramente esiste all'indirizzo indicato in mail una azienda che si occupa di management

solo che come si vede, l'account mail utilizzato e' differente

Tra l'altro non e' molto credibile l'uso di servizi di mail free solitamente utilizzati per account personali (gmail in questo caso), come mail di riferimento per attivita commerciali, aziende ecc...

Edgar

lunedì 25 maggio 2009

Beni culturali ?

I links presenti nel post sembrerebbero puntare a pagine senza alcun problema di malware, fake av o codici pericolosi.
Considerato pero' che la corrispondenza tra “siti con contenti per adulti” = “possibili links o codici malware” e' molto reale, consiglio sempre, per chi volesse seguire i links, a prendere tutte le precauzioni del caso (noscript, sanboxie, pc virtuale ecc....)

La presenza di links nascosti di vario genere, sembra non avere limiti riguardo ai siti colpiti.

Da una ricerca in rete si scopre cosi' che anche un sito della RAI non e' esente da questo problema
Vediamo qualche dettaglio:

Questi alcuni dei risultati di una ricerca in rete

che puntano, ad esempio a, questa pagina, che dalla data indicata sembrerebbe di creazione recente
Se ne esaminiamo il sorgente possiamo notare che e' presente un links opportunamente nascosto

che punta a questo sito

e di cui vediamo anche un altro dettaglio


ed un whois


Sembra evidente che il links non faccia parte del layout 'originale' della pagina ma provenga piuttosto da una delle centinaia di inclusioni di pagine o links nascosti che ogni giorno colpiscono anche siti .IT.

Vi sono anche altre pagine sempre del medesimo sito RAI che propongono simili links mentre altre piu' datate presentano comunque tracce di una inclusione di collegamenti a siti di pharmacy, al momento non piu' attivi.

Aggiornamento

Anche questa diversa URL RAI, sempre legata comunque al sito Explora RAI

sembrerebbe includere il link allo stesso sito con contenuti per adulti, visto sopra.

Edgar

Phishing PosteIT 25 maggio 09

Ricevuta ennesima mail di phishing ai danni di PosteIT.

Il messaggio in mail e' costituito da un'unica immagine con links a questo codice php su sito compromesso


che redirige su altro sito compromesso


dove e' presente il sito di phishing

Questo il link completo presente in mail

href="http://www.acuga.com/pasa/carta.php"

Edgar