lunedì 31 agosto 2009

Aggiornamento phishing 31 agosto 09

Tra le varie mails di phishing ricevute in questi giorni ecco questa ai danni della Banca Popolare di Milano (BPM)

che tramite redirect

punta al sito finale di phishing

con whois


Anche questa volta vengono utilizzati nomi di dominio creati in modo da rendere quanto piu' possibile 'reale' l'indirizzo web del il sito di phishing.

Se visualizziamo la homepage del dominio utilizzato troviamo questa pagina che indica un servizio di hosting USA per ospitare il sito di phishing.

E' interessante notare come un altro sito di phishing, questa volta ai danni di CartaSI segnalatomi da Filoutage utilizzi stesso servizio di hosting

per questo sito di phishing:


Tra l'altro entrambi i siti di phishing presentano anche identica data di registrazione del domino come si vede dai rispettivi whois


Il tutto sembra confermare ancora una volta le probabili origini comuni di molti phishing presenti in rete ai danni di banche IT.

Edgar

Distribuzione falsi antivirus e malware (agg. 31 agosto 09)

AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! dato che si tratta comunque di eseguibli attivi e poco riconosciuti.

Sembra che la tendenza attuale per distribuire falsi AV o comunque eseguibili pericolosi sia l'utilizzo di pagine web con un layout che ci ricorda le pagine di un blog, pagine che incluse in normali siti, vengono indicizzate dai motori di ricerca e proposte ai primi posti dei risultati.

Attualmente il numero di siti IT coinvolti e' notevole ed in costante aumento negli ultimi giorni.

Vediamo alcuni casi aggiornati ad oggi:

Questa la pagina di falso blog inclusa all'interno di numerosi siti anche .IT, come ad esempio in questo appartenente ad un 'Ordine di Avvocati'

Le pagine incluse, se gli script java sono attivi , propongono dopo il caricamento una scelta , comunque irrilevante, in quanto in entrambi i casi (enter o exit)

si viene rediretti su sito clone di Youtube

con whois che punta , cosa comune in questi casi, a server locato in Est Europa

Cliccando su ogni falso filmato presente viene proposto il download di un setup di flash palyer 10 necessario alla visione dei contenuti video ,

che VT vede molto poco riconosciuto dai principali softwares AV in commercio


I sito colpiti con questa inclusione che varia continuamente, sono decine , come si vede ad esempio da questo differente layout di falso blog.

Sempre di falso blog si tratta per queste pagine incluse in siti IT che ricorcano anche questa volta la struttura di un blog
e che in automatico redirigono su questo falso scanner AV gia' visto in passato

con riconoscimento quasi nullo


Per quanto si riferisce ai falsi blog inclusi su siti IT, evidenziati in questo post del 28 agosto, abbiamo un continuo aggiornamento di pagine e di siti colpiti, come si vede da una ricerca in rete (time evidenziato in giallo)

Sempre di falsi layout di blog anche per queste pagine linkate da forum IT che presenta recenti inserimenti di falsi post


che tramite questa pagina di falso blog,


linkano a fake scanner AV che distribuisce il file eseguibile visto da VT come


In tutti i casi visti ora, come sempre, non esistono problemi immediati per chi visitasse i siti colpiti, in quanto le pagine incluse (i falsi blog) sono invisibili al visitatore ma vi sono comunque alcune conseguenze negative per il sito coinvolto.

Intanto abbiamo l'evidenza di una probabile vulnerabilita, che potrebbe essere sfruttata per colpire in maniera diretta i visitatori del sito; inoltre la presenza di queste pagine crea sicuramente un traffico non voluto sul server che ospita il sito compromesso, ed anche, e questo e' lo scopo principale di chi effettua questi attacchi, il sito comparira' in rete come risultato di ricerche a carattere porno, di pharmacy ecc.. cosa che comuqnue dal punto di vista dell'immagine del sito non e' certamente il massimo.

Edgar

domenica 30 agosto 2009

Siti .IT compromessi (aggiornamento 30 agosto 09)

Una buona parte di siti hostati su

presentano la homepage sostituita da

Questo un report Webscanner che conferma l'alta percentuale di siti compromessi (piu' della meta') sul medesimo IP


Edgar

sabato 29 agosto 2009

Aggiornamento Waledac Botnet 29 agosto 09

AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! dato che si tratta di malware attivo e poco riconosciuto.

Continua la presenza online di files malware sui siti Waledac senza comunque la presenza di una pagina di download dei files eseguibili presenti


Oltre ai file eseguibili gia' visti in precedenza (in questo post) abbiamo anche altri nomi di files tra cui (N.B.i numeri ..(2) ...(3) sono inseriti nel nome del file in modo automatico dal downloader per indicare stessi files ma successivi download)


Quello che si puo' notare e' che i files di tipo _b


potrebbero essere dei comuni fakes AV come viene anche rilevato da questo post su ThreatFire

mentre i files di tipo _A di dimensioni piu ridotte sono visti da VT come

Come gia'' evidenziato nel precedente post c'e' anche rilevare come, a fronte di una variazione del codice scaricato, ci sia un evidente variabilita' del numero dei software Av che riconoscono il malware di tipo _a, molto piu' marcata rispetto a casi gia' visti in precedenza.



Ad esempio


mentre dopo circa 2 ore solo 7 software danno esito positivo


Edgar

venerdì 28 agosto 2009

Siti IT compromessi e links a falsi Av, malware .... (aggiornamento 28 agosto 09)

AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! dato che si tratta nel caso del falso player di malware attivo e poco riconosciuto.

Una odierna ricerca in rete evidenzia alcuni siti .IT che sono stati compromessi con l'inclusione di pagine dal layout simile a pagina i blog.

Ecco ad esempio i dettagli della struttura di un sito IT che presenta ben due folders contenenti

sia centinaia di pagine come questa

che redirige su falso scanner online


con relativo download di file che VT vede come

oppure di centinaia di pagine con questo layout piu' curato


che redirige su questo falso scanner (notare anche il layout con il dettaglio che propone l'IP di provenienza del visitatore)


Il file eseguibile di cui e' proposto il download vede un bassissimo riconoscimento da parte dei reali AV


Questo un altro sito IT che propone questo differente layout di blog, con redirect sul medesimo falso scanner AV visto prima .( antivirus_58s5(dot)exe )

Per terminare ecco invece una pagina malware sotto forma del solito falso player


che viene proposta da uno dei tanti recenti post fasulli su forum IT

Una analisi

vede anche in questo caso, alcuni noti AV non rilevare il pericolo, sempre tenendo ben presenti i limiti dovuti ad una scansione eseguita con VT.
Alcuni software AV che al momento danno risposta nulla potrebbero infatti evidenziare il problema malware quando installati ed in funzione su un reale PC a differenza dei risultati del test Virus Total eseguito online e on-demand.

Ecco un riassunto dei files scaricati dai 3 siti analizzati in questo post:

ed i relativi IP


Edgar

Scam e false offerte di lavoro (aggiornamento 28 agosto 09)

Continua sostenuto l'invio di mails che propongono false offerte di lavoro ma anche possibilita' di ricevere grosse somme di denaro attraverso la partecipazione ad operazioni bancarie ma anche mails di scam di natura 'sentimentale'.

Tra le tante mails che promettono soldi ecco questa:

che, anche se in inglese, e' interessante esaminare, in quanto si distingue da altre per utilizzare la notizia del reale disastro aereo dello scorso anno in Madrid (On August 20, 2008, Spanair Flight 5022, an MD-82 registration EC-HFP from Madrid's Barajas Airport crashed shortly after takeoff on a flight to Las Palmas de Gran Canaria in the Canary Islands.) e dove, secondo il testo in mail, chi invia il messaggio sarebbe l'unico superstite dell'incidente aereo.(in realta' ci furono 19 superstiti)
La mails propone a chi la riceve di diventare il

......... Trustee/Foreign Investor and partner to my Bank, Lloyds TSB Bank, Madrid, Spain. So that the proceeds of my investment account ($52,000,000.00 USD, Fifty-Two Million US Dollars)......

in pratica il fiduciario / beneficiario di un investimento di denaro di milioni di dollari.
Inutile ricordare che una ricerca in rete porta a ritrovare numerosi riferimenti a false mails dai testi simili a questa.

Queste invece due mails

che , a fronte di differente mittente, presentano identiche foto allegate, di persona che vorrebbe contattare chi riceve la mail.

Potrebbe quindi trattarsi di un tipo di scam di cui possiamo trovare su Wikipedia una breve descrizione:

.................... Alcune donne (di varia provenienza: come est Europa, Russia ecc.......) inviano un messaggio di interesse alla vittima.
Si instaura cosi' un rapporto a distanza tramite email con un fitto scambio di corrispondenza.
La donna, in genere, si presenta con un profilo e un'immagine avvenente e con un atteggiamento subito propenso alla costruzione di un rapporto sentimentale. ...................
Dopo un certo lasso di tempo pero' viene richiesta una somma di denaro per far fronte a problemi economici, come un'improvvisa malattia, un prestito in scadenza ecc. La vittima viene quindi convinta a trasferire una certa cifra tramite conto bancario o con un trasferimento di contanti tipo Western Union.
Subito dopo aver incassato i soldi, la donna fa perdere i propri contatti.
Per prevenire questo tipo di truffe, e' utile tenere conto di alcuni elementi comuni che devono far insospettire:
rapido intersse della persona nei vostri confronti, anche con la possibilita' di un matrimonio
le foto inviate sono spesso a bassa risoluzione (come fossero gia' preparate) e a volte palesemente scaricate da internet oppure , come in questo caso la medesima foto serve per differenti mails.....

Per terminare ecco una lunga lista di mails di false offerte di lavoro

ricevute in questi ultimi giorni dove abbiamo, dalle false banche giapponesi in cerca di collaboratori

ed anche

alle numerose mails che vogliono passare come una risposta ad una nostra richiesta di ricerca di lavoro


ed alle mails inviate da una societa' che , come dice la traduzione del testo in italiano,”..opera in molte direzioni...”

In pratica tutte mails che in un modo o nell'altro cercano di rubare denaro a chi rispondesse o in alternativa propongono false attivita lavorative che coinvolgerebbero chi accettasse, in probabile riciclaggio di denaro.

Edgar