giovedì 31 dicembre 2009

Aggiornamenti di fine anno

Si tratta di alcuni aggiornamenti che diventano in parte anche una rassegna delle diverse tipologie di attivita' illecite tra le piu' diffuse in rete quest'anno.

Phishing:
Ecco un nuovo sito di phishing (su segnalazione Filoutage) ai danni di UniCredit Banca, e tuttora attivo

hostato su sito compromesso con whois olandese
Questa invece una mail

con allegato (quest'anno alcune mail di phishing hanno utilizzato questo sistema di distribuzione) che riproduce una pagina di phishing ai danni di BCC (Credito Cooperativo)


Ecco un dettaglio del codice del form di login e relativo link a sito compromesso brasiliano che acquisisce i dati personali digitati e redirige sul reale sito della Banca BCC.

Quest'anno il phishing e' stato sicuramente una delle principali attivita' illecite in rete con obbiettivo anche un buon numero di Banche italiane senza naturalmente dimenticare le azioni di phishing ai danni di Poste.IT in maniera piu' ridotta negli ultimi mesi.

Inclusione di false pagine di blog in siti legittimi .IT:
Una delle maggiori attivita illecite del momento, anche a fine anno, e' quella dell'inclusione di pagine simili a blog , con links a malware, falsi Av, pharmacy ...ecc..

Ecco un aggiornamento di siti IT compromessi (a decine) su server UK , anche nelle ultime ore


Inoltre come novita' odierna abbiamo la comparsa di un nuovo genere di inclusione di pagine, es. su questo sito scolastico IT,

ma questa volta anche su siti hostati su servers IT oltre che di altre nazioni, e di cui vediamo un report attraverso un recente nuovo tool scritto in Autoit

In questi casi, come visto parecchie volte, si tratta di links attraverso javascript offuscato,

Questo un whois a cui punta il link

Links inclusi su blogs, servizi di social network ecc...:

Questo un dettaglio di alcuni nuovi blogs presenti oggi su myblog.it

creati al solo scopo di ospitare migliaia di links a fake av, malware, pharmacy ecc.....

A conferma dell'uso di siti legittimi per distribuire links a siti pericolosi, ecco il report attuale di URIbl
che vede coinvolto il servizio Live Space Microsoft in una distribuzione su vasta scala di links.

Si tratta di blog e nuovi profili utente creati solo allo scopo di supportare mails di spam con links appunto a fake blog Live Space che poi redirigono su pharmacy, vendita di merce contraffatta ma anche siti porno con probabili links a malware. Ecc...

E' interessante notare che in pochi giorni sono stati attivati migliaia di profili utente fasulli e relativi blog, come vediamo da questi screenshoots



ma anche con altro ' genere ' di contenuti

Edgar

mercoledì 30 dicembre 2009

Aggiornamento myblog.it e siti IT su IP UK con pagine incluse (30/12)

Continua l'inclusione di fake blog all'interno di siti IT (su IP UK) ed anche l'utilizzo di myblog.it per diffondere links pericolosi attraverso nuovi blogs creati solo per questo scopo.

Un ulteriore sviluppo del tool scritto in Autoit (illustrato in questo post) permette ora di visualizzare attraverso l'elaborazione dei risultati di una ricerca in rete, sia la struttura del sito esaminato (in maniera grafica) ma anche il “time” relativo al momento in cui le pagine sono state indicizzare dal motore di ricerca.
In questo modo, si puo' avere una idea di massima circa il periodo in cui il sito, il blog , la pagina web ecc.... hanno subito un attacco od una modifica dei contenuti o sono stati messi online. Chiaramente la data e' quella relativa al momento in cui il search engine rileva la pagina online.

Ecco un report scansionando myblog.it (notare il "time" recente per alcune pagine)


mentre questo un dettaglio di un report relativo a siti IT su IP UK con inclusione, in data molto recente, di pagine simili a blog.

Edgar

martedì 29 dicembre 2009

Aggiornamento myblog e siti con pagine incluse (29/12)

Ancora un aggiornamento sui links inclusi su blogs myblog.it.


Come si vede da questo screenshot si tratta di blogs, alcuni creati in data recente, che presentano anche piu' di una pagina creata per diffondere links a siti di dubbia affidabilita', fake scanners AV ecc....
Questo invece un ulteriore recente sito con inclusa una notevole quantita' di pagine web dal layout simile a blog e redirect su falsi Av, ecc....

Edgar

Inclusione false pagine blog su siti IT (host su IP UK) Agg. 29/12

Ecco un breve report eseguito con l'ultima versione del tool Autoit che crea una mappa grafica della struttura dei siti trovati tramite ricerca in rete.

e che dimostra che sono attualmente ancora molti i siti con inclusione di pagine simili a blogs che redirigono a siti di fake Av, malware ecc....

Edgar

Twitter come supporto a Torpig Botnet e siti IT compromessi con javascript offuscato (agg.29/12)

Questo lo script offuscato, iniettato nella homepage

e di cui vediamo un dettaglio dei contenuti, dopo una analisi con Malzilla


Come si puo' notare dalla decodifica, risultano presenti due links a Twitter, che permettono di catalogare i codici inclusi come appartenenti alla distribuzione malware collegata a Torpig botnet.

Siamo infatti di fronte ad un particolare algoritmo che si basa sulle API (Application Programming Interface) di Twitter per generare nuovi nomi di dominio pseudo-casuali a cui reindirizzare i visitatori dei siti compromessi. (da rilevare che i nomi di dominio cosi creati possono cambiare anche due volte in una giornata) .
Il nuovo algoritmo utilizza sia la data corrente per generare il nuovo nome di dominio ma anche le tendenze di ricerca fornite da Twitter per generare un codice casuale.
Piu' precisamente, l'algoritmo richiama http://search.twitter.com/trends/weekly.json?................ (evidenziato in giallo nel source deoffuscato) che restituisce un oggetto (file JSON) contente le tendenze per le ricerche su Twitter, organizzate per data.

Partendo da questi dati viene calcolato il novo nome di dominio da utilizzare per la distribuzione del malware. (Maggiori dettagli sia su blog.unmaskparasites.com che su http://www.cs.ucsb.edu/~seclab/projects/torpig/index.html )

Inoltre, questa e' una applicazione online che , sfruttando appunto le API Twitter , genera i nomi di dominio pseudo-casuali attraverso lo stesso algoritmo usato nella distribuzione del malware Torpig.

Attualmente una scansione con Webscanner dei sources delle homepage di siti su noto hoster italiano

ne vede alcuni ospitare lo script offuscato visto ora:


Questa invece la homepage di un sito IT che tratta di archeologia (url presente nel report)

e dove possiamo notare, abilitando gli script, il link a Twitter, che attiva la creazione del nome di dominio pericoloso.(che termina con le lettere TWE (vedi note))
Anche se un link diretto al sito di cui e' stato generato il nome, non evidenzia nulla di particolare, c'e' da osservare che l'indirizzo termina con le lettere TWE, particolare che denota un nome di sito generato nel mese di dicembre e quindi recente.

Note:
Questo un elenco con il dettaglio delle 3 lettere finali nell'indirizzo web, creato dal file java malevolo (fonte http://blog.unmaskparasites.com/) con le tre lettere che cambiano a seconda del mese in cui il nome di dominio viene generato.

uno – January
dve – February
thr – March
fir- April
vif – May
xes – June
ves – July
ght – August
eni – September
etn – October
lev – November
twe – December (es. il sito visto in dettaglio nel post)

Edgar

lunedì 28 dicembre 2009

Aggiornamento sulla inclusione di pagine di falsi blog su siti IT e links a malware (28/12)

Continua sempre l'inclusione di false pagine , simili a blog, su siti IT. (hostati su servers o comunque IP appartenente a range UK)
Una ricerca effettuata attualmente, dimostra che ci sono siti, nei risultati di una ricerca in rete, che da qualche ora presentano nuove pagine incluse.
Ecco alcuni screenshot dello script Autoit che, attraverso le urls risultanti da una ricerca in rete, ricrea graficamente la struttura di alcuni siti attualmente compromessi.

e

ed anche

Edgar

sabato 26 dicembre 2009

Aggiornamento sulla inclusione di pagine di falsi blog su siti IT e links a malware (26/12)

Continua l'inclusione di false pagine , simili a blog, su siti IT.
Una ricerca effettuata attualmente, dimostra che ci sono siti, nei risultati di una ricerca in rete, che da qualche ora presentano nuove pagine incluse.

Per verificare in modo visuale la struttura di questo attacco, che ricalca quello precedente del settembre scorso, sempre ai danni di siti hostati su IP inglese, ho sviluppato questo piccolo script che , sfruttando i risultati restituiti dalla una ricerca in rete, crea una mappa della struttura del sito colpito.
Il vantaggio e' sicuramente quello di rappresentare i risultati forniti dal motore di ricerca in modalita semigrafica, cosa che permette di evidenziare meglio l'elevato numero di codici inclusi nel sito.

Ecco un primo esempio che vede questo sito di corsi di musica sempre hostato su uno dei server UK


presentare, come risultato della scansione con il tool questa struttura

che nel dettaglio
dimostra la grandissima quantita di codice incluso nel sito


Questo invece un altro sito sempre IT e sempre ostato su server UK,


che dimostra la presenza di differenti nomi di pagina

Edgar

Siti compromessi (26/12)

Si tratta della quasi totalita' dei siti rilevati da un reverse IP su

(di hoster ligure gia' visto parecchie volte nei report riguardanti siti compromessi)

che presentano inclusa questa pagina al loro interno


Questo un report


Piu' grave questa azione ai danni di

dove quasi tutti i siti hostati rilevati da un reverse IP, presentano la homepage sostituita da

Questo un report


Ancora una volta, si tratta di attacchi che , anche se generalmente non portano a problemi di sicurezza per chi visitasse il sito colpito, evidenziano l'elevato numero di vulnerabilita' presenti che potrebbero, e molto spesso lo sono, essere sfruttate per diffondere links a pagine con malware, falsi Av ed anche fornire supporto e redirect a siti di phishing.

Edgar

venerdì 25 dicembre 2009

Aggiornamento e dettagli sui falsi blogs inclusi in siti .IT hostati su server UK (25/12) e link Eleonore Exploit Pack

AVVISO ! Ricordo, come sempre, che anche se alcuni links sono in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!
Si tratta molto spesso di exploits e files eseguibili malware, poco riconosciuti dai software AV in commercio


Come visto in precedenza (qui e qui) si sta diffondendo, su siti IT hostati sempre su

(o altri IP sempre relativi allo stesso hoster), l'inclusione di decine di pagine di falso blog (dai piu' diversi layout) con links a differenti generi di malware o falsi AV, pharmacy, ecc...

A confermare la pericolosita' dei links serviti da questi falsi blogs inclusi, vedremo, analizzando uno dei links proposti, come il risultato finale sia una pagina di Exploit Pack (tools per la distribuzione di expolit e gestione di botnet) denominato Eleonore.

Per iniziare vediamo alcuni dettagli sulla procedura utilizzata per linkare ai siti pericolosi, attraverso i falsi blog inclusi:

Al momento vengono utilizzati alcuni script java (cammuffati nel nome da codice di counter) , che eseguono il redirect automatico e precisamente

ed anche
che analizzeremo in maniera approfondita nel seguito del post.

Possiamo subito notare che il nome dell'indirizzo a cui si viene rediretti e' anche quello di pagine ispirate alle festivita' di fine anno (happy-newyear2010(dot)com ) e che i server che ospitano i files java cambiano frequentemente indirizzo.(la maggior parte dei file javascript e' hostata ora su)

mentre le pagine a cui puntano risiedono su


Si tratta sempre di indirizzi che variano in continuazione ogni poche ore per eludere meglio il tracciamento della distribuzione malware senza contare che nella maggior parte dei casi viene sempre effettuato un riconoscimento dell'IP di provenienza del visitatore, disattivando, ad esempio, il caricamento delle pagine, dopo la prima visita.

A parte i falsi Av linkati in maniera automatica dai fake scanner online e sempre poco riconosciuti, vediamo invece in dettaglio questo sito a cui si viene rediretti e precisamente

con whois USA

La pagina presentata e' quella del noto clone Youtube con contenuti porno ma questa volta invece che proporre subito un eseguibile malware (molto spesso fake AV) viene invece presentata, in automatico, una serie di links a falsi motori di ricerca

Capita cosi' che se si effettua una ricerca ad sempio di software AV

si viene rediretti su pagina con whois

e di cui vediamo in dettaglio i contenuti

Si tratta di due links sia a malware sotto forma di eseguibile che a exploit PDF con riconoscimento dei due files molto basso ad una analisi VT

Un exploit PDF

e

Entrando ancora piu' nel dettaglio relativamente alla pagina con malware, possiamo notare come si sia in presenza di un Exploit Pack denominato Eleonore in una versione recente, la 1.3.1.


Eleonore Exploits Pack, e' e' una raccolta di exploit progettata per gestire e controllare una botnet zombie con incluso software che provvede a produrre statistiche dettagliate sui computer infettati...ecc...

La versione iniziale sfruttava vulnerabilita' di vario tipo quali

> MDAC
> MS009-02
> Telnet - Opera
> Tag Font - FireFox
> PDF
> DirectX DirectShow
ecc...

e veniva proposta inizialmente in rete ad un prezzo attorno ai 700 $

Sono seguite poi nuove versioni quali la 1.1 la 1.2 e la 1.3 b

La versione (1.3b), presenta nuovi exploit, migliorando anche le statistiche relative ai dati dei computer infettati .

Edgar