sabato 6 marzo 2010

Lotteria Italia – Il suo biglietto lotto gratuito ovvero un eseguibile pericoloso anche a sevizio del phishing

Ricevuta mail di phishing che ,sorpresa , non vuole colpire una banca o PosteIT, ma questa volta prende di mira una Lotteria italiana.

In realta', come vedremo dall'analisi seguente, la mail e' strettamente legata al phishing ai danni di PosteIT e Banche italiane o Paypal non escludendo comunque anche l'installazione sul PC colpito di software pericoloso di altro genere.(backdors, acquisizione di dati personali ecc....)

Vediamo tutti i dettagli che ci dimostrano di essere in presenza di file estremamente pericoloso.
Iniziamo dal contenuto del source della mail

Il riferimento del messaggio e' chiaramente rivolto a questa reale Lotteria Italiana in scadenza a Maggio 2010.

Notate come chi ha composto l'immagine che simula il messaggio, abbia catturato parte del testo presente sul sito 'originale' di Lotterie italia

Il testo della mail e' costituito da una immagine che tramite due links punta a codice php hostato su sito tedesco probabilmente compromesso

A questo punto proviamo a seguire il link presente in mail:

se l'IP di provenienza e' thai succede questo redirect su fantomatico sito lotto IT, peraltro al momento non raggiungibile

mentre con IP italiano veniamo portati su questa pagina

dove notiamo un piccolo codice che propone

Scaricato il file, (notare l'icona relativa)


possiamo esaminarne i contenuti.

Una analisi VT mostra questo risultato (file praticamente sconosciuto)

mentre piu' interessante si dimostra una analisi Threath Expert


Oltre alle info sul contenuto malware del file scopriamo un dettaglio che dimostra l'estrema pericolosita' del file scaricato al riguardo di azioni di phishing.

Una volta eseguito, il programma scaricato modifica infatti il nostro file HOST, aggiornandolo con questi dati

-----------------------------------------------------------
# Copyright (c) 1993-2010 Microshit Corp. :-)
81.223.xx.yy poste.it
81.223.xx.yy www.poste.it
81.223.xx.yy bancopostaonline.poste.it
81.223.xx.yy bancopostaimpresaonline.poste.it
81.223.xx.yycarige.it
81.223.xx.yy www.carige.it
81.223.xx.yy gruppocarige.it
81.223.xx.yy www.gruppocarige.it
81.223.xx.yy paypal.it
81.223.xx.yy paypal.com
81.223.xx.yy www.paypal.it
81.223.xx.yywww.paypal.com
81.223.xx.yy titolari.cartasi.it
81.223.xx.yyserviziaziende.cartasi.it
81.223.xx.yy www.cartasi.it
81.223.xx.yy www.cartabcc.it
81.223.xx.yy www.monetaonline.it
81.223.xx.yy www.servizi.monetaonline.it
----------------------------------------------------------------------

Interessante notare che l'eseguibile agisce sul file HOST in maniera personalizzata ,per una utenza italiana di servizi online sia di PosteIT che di Banche IT che di Paypal.

Ricordo che cosi' modificato il file host redirigerebbe la nostra navigazione internet sull'IP associato alla url nel file anziche sul reale sito digitato nel browser in maniera del tutto trasparente per l'utente.

In altre parole, se digitassimo nel browser poste.it verremmo rediretti sull'IP aggiunto nel file HOST (sito di phishing) e non sul reale sito PosteIT.

L'IP a cui si verrebbe rediretti appartiene a

Come si vede una complessa azione di distribuzione malware a supporto di phishing ai danni di utenti italiani che questa volta sfrutta una Lotteria .

Evidentemente la fantasia, a chi gestisce distribuzioni di phishing e malware, non manca.

Edgar

Nessun commento: