giovedì 29 ottobre 2009

Facebook phishing con eseguibile pericoloso gestito da botnet

In queste ore si sta assistendo ad un notevole invio di mails pericolose con links a sito di phishing ai danni di Facebook.
(fonte immagine http://blog.appriver.com/)

Contrariamente alle mails con incluso come atachment un file zippato malware, in questo caso abbiamo un link diretto ai siti che vedremo ora.

Si tratta di migliaia di mails di spam con link a pagine di phishing con layout di falso account Facebook che redirige, a sua volta, su altra pagina, sempre fasulla, di download di un aggiornamento sotto forma di eseguibile pericoloso dal nome updatetool(dot)exe.
La nuova e-mail di phishing, che si maschera da un messaggio da Facebook, promette di offrire agli utenti un nuovo e piu' facile processo di login, attraverso l'aggiornamento della procedura di account.

Alcuni ricercatori confermerebbero inoltre l'impressionante numero di mail inviate utilizzando la botnet.
Si parla infatti di piu' di 1'000 mails al minuto per ogni nome di dominio gestito dalla botnet per un totale di 30.000 mails al minuto (al momento sarebbero gia' piu' di un milione e mezzo le mail inviate)

Inoltre l'attacco coinvolgerebbe pure gli account utilizzati sugli smartphone che utilizzano applicazione Facebook


Vediamo alcuni dettagli:

Questa la pagina fasulla di login proposta, (con in evidenza gli IP multipli di provenienza)


che confermano l'utilizzo di probabile tecnica fast-flux (in questo caso gestita da Zeus Botnet)
Una volta effettuato il falso login si viene portati su questa pagina, sempre gestita dalla botnet,

che invita a scaricare il file di update (trojan).
Una analisi VT vede al momento un riconoscimento abbastanza basso del malware


mentre come si nota da questo dettaglio i tempi TTL sono abbastanza brevi.

Una analisi con uno script Autoit della provenienza degli IP coinvolti mostra

con il consueto coinvolgimento di differenti nazioni.

Ulteriori dettagli su http://blog.appriver.com.


Aggiornamento

E' interessante notare come l'url della pagina di phishing accetti anche l'indirizzo mail da proporre automaticamente nel form di login.

In pratica si puo' creare un link che oltre che ad aprire il sito di phishing abbia gia' "precompilato' l'indirizzo mail del visitatore cosa che potrebbe invogliare ad effettuare il login pericoloso.

Edgar

Nessun commento: