mercoledì 30 giugno 2010

Phishing BCC (agg. 30 giugno)

Poche righe per segnalare due mails di phishing identiche, ricevute oggi, ed ai danni di BCC


Come si nota il phishing consiste in un form come codice html allegato alla mail

che utilizza sito compromesso per acquisire i dati di login e redirigere sul sul reale sito della banca.

Testo e allegato sono identici per le due mails con l'unica differenza del sito compromesso di redirect che risulta essere

e


Unica particolarita' e' il codice che compone l'allegato (codice del form) che risulta, in entrambe le mails, in formato debolmente offuscato

Edgar

Siti compromessi .IT (agg. 30 giugno)

La meta' circa dei siti presenti su lista di reverse IP relativa a

presentano questa mattina (ora thai) una pagina inclusa

Da notare la data attuale indicata sulla pagina e , se le indicazioni del testo sono reali, un diverso gruppo rispetto alla maggior parte degli attacchi che ogni giorno colpiscono centinaia di siti anche IT.

Ecco il report

Edgar

martedì 29 giugno 2010

Phishing Banca Popolare di Sondrio (29 giugno)

Ricevuta mail di phishing ai danni di Banca Popolare di Sondrio

Cosa particolare e' che questa volta il contenuto del messaggio, scritto in buon italiano, fa leva proprio sul problema del phishing per indurre chi riceve la mail a finirne vittima.

Per quanto si riferisce ai dettagli dell'azione di phishing anche oggi si tratta di un utilizzo di redirect attraverso sito compromesso su dominio UK ma whois tedesco

che propone online la solita interfaccia di gestione dei contenuti di Innova Studio con evidenziato nello screenshot il codice di redirect fog.html (nome molto utilizzato anche in passato)

Come accade molto spesso l'utilizzo dell'asset manager di InnovaStudio ha probabilmente permesso di caricare sul sito sia codici di shells e gli stessi codici di redirect al sito finale di phishing.

Eecco gli stessi contenuti visualizzati con una delle tante shells disponibili.

Da notare la data del 28 giugno per il file fog.html che esegue il redirect

Inoltre molti dei folders creati da chi ha compromesso il sito contengono riferimenti in data recente ad azione di hacking, come si nota in questo dettaglio dei contenuti , visualizzato tramite altra shell disponibile

e dove troviamo anche pagine complete di hacking come questa

Essendo il 24 giugno la data relativa al file immagine incluso e' possibile che le due cose, cioe' azione di hacking e inclusione di file di redirect al phishing (in data 28 giugno) non siano collegate ma si tratti di azioni differenti, ma non e' neanche da escludere, come mi ricordava l'amico Denis, che ci sia una sorta di collaborazione (magari anche a pagamento) tra chi compromette i siti e chi li utilizza come supporto al phishing.

Il codice di redirect punta poi al sito di phishing Banca Popolare di Sondrio che e' ospitato su altro sito compromesso questa volta dalle mie parti, e cioe' in Thailandia.
Anche in questo caso si sarebbe utilizzata la presenza di asset manager per caricare il codice del sito di phishing.

Edgar

lunedì 28 giugno 2010

Phishing Cassa di Risparmio di Ferrara (agg. 28 giugno)

Dopo alcuni giorni di assenza di phishing sulle mie mailbox di riferimento, ecco arrivare una nuova mail ai danni della Cassa di Risparmio di Ferrara

Come la volta scorsa, il sito di phishing e' raggiungibile attraverso un redirect su sito compromesso canadese e ricalca fedelmente sia la modalita' del redirect che la struttura del sito finale di phishing.

L'unica differenza e' l'url del sito finale di phishing, sito che rimane comunque sempre ospitato su servizio di hosting Yahoo.

Interessante notare che, sul file di log delle connessioni al phishing, e' sempre presente l'IP romeno gia' visto ampiamente in passato

e che parrebbe essere collegato alle azioni di phishing CR Ferrara.

A proposito di tale IP trovate alcuni ulteriori dettagli su http://www.denisfrati.it

Edgar

sabato 26 giugno 2010

Shakira, Mondiali 2010, Youtube e links ad adware (26 giugno)

L'utilizzo di eventi a diffusione mondiale per tentare di distribuire malware o comunque, come in questo caso, software catalogato come possibile adware, vede questa volta coinvolti video Youtbe della nota canzone proposta da Shakira per i Mondiali 2010 di calcio.

Come rilevato da Sunbelt blog qualche giorno fa, e come accade tuttora, vengono utilizzati video della canzone di Shakira, 'Waka Waka' per linkare a sito che propone un eseguibile catalogato es. da Prevx come

Vediamo alcuni dettagli:

In questo screenshot potete vedere come il video venga associato a un link, che, forse per evitare meglio eventuali filtri da parte di Youtube, usa un noto servizio di URL shortening,

proponendo un collegamento a

Nella pagina oltre a ben evidenti links per il download viene assicurata l'assenza di qualsiasi spyware presente con l'eseguibile che andremo ad installare .

Cliccando su uno dei collegamenti presenti ecco la pagina che propone l'eseguibile

che analizzato con Virscan (VT non era al momento raggiungibile) mostra alcuni (molto pochi) software AV che catalogano il file come pericoloso.

E' anche possibile che, non traddandosi comunque di malware, molti software AV, non evidenzino FLVpro.exe nella loro analisi.

Che l'evento Mondiali 2010 in unione a filmati Youtube, venga utilizzato per distribuire software di dubbia qualita' o links a siti poco affidabili lo vediamo in quest'altro screen

dove un video sempre riguardante la medesima canzone presenta un collegamento a sito, che propone come prima videata, un form, disponibile anche in lingua italiana,

per partecipare a lotteria online, e nel quale la frase (ripetuta 3 volte) “ .. HAI.. vinto …” diventa una riga sotto '...POTRESTI...' e dove viene ben indicato, anche se in inglese, che “...se non vuoi ricevere mails di pubblicita' …. NON aderire a Free Lotto....”


Edgar

venerdì 25 giugno 2010

Inclusione di links a siti porno, pharmacy ecc... su siti compromessi .IT (agg. 25 giugno)

AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!

Sempre molto utilizzato l'user agent per rendere visibili i links inclusi su siti compromessi, ai soli motori di ricerca.

E' il caso di questo sito , appartenente all'ordine dei medici di provincia toscana

che se caricato nel browser con attivo un user agent di motore di ricerca (in questo caso Googlebot) presenta questo layout alterato

Il relativo source dimostra che il problema consiste nell'esistenza di centinaia di links

a pagine di redirect ospitate su altri due siti USA compromessi,

e che a loro volta linkano a siti di vendita online di filmati porno, ecc.....

Questo un whois del sito IT

Da notare che una ulteriore ricerca in rete porta a trovare decine di siti che presentano pagine come questa

con collegamenti al sito italiano compromesso visto ora, e tutto questo per creare una rete di links che possano essere meglio indicizzati dai motori di ricerca.

Dalle date presenti nei risultati di ricerca sembra che il sito IT, oltre che ai link in data attuale ed attivi, abbia avuto gia' in passato analoghi problemi, visto che alcune date di pagine con redirect, ora non piu' attivo, risalgono all'anno scorso (es. questo guestbook con post datati agosto 2009 (e relativi links al sito IT))


Edgar

mercoledì 23 giugno 2010

Ancora links a pharmacy che utilizzano servizi free di creazione di blogs su siti .IT

Continua molto attivo in rete sia l'invio di spam con links a pharmacy ma anche l'uso di links inclusi all'interno di siti web legittimi per proporre vendita online di viagra e derivati.

Tra i vari metodi utilizzati, uno dei piu' attivi e' la creazione di blogs con lo scopo di proporre links di redirect a siti in genere compromessi oppure creati appositamente, che a loro volta, propongono la vendita online dei medicinali.

E' il caso ad esempio dell'utilizzo di questa 'comunity' collegata a sito IT, che permette la creazione di blog personali come gia' visto, ad esempio, nei casi myblog.it.


Ecco un attuale blog, che gia' da quello che propone (nessun post o post con nomi di fantasia e nessun testo) appare come creato solo allo scopo di diffondere links.

Analizzando infatti il source della pagina troviamo migliaia di links

a siti hostati su server olandesi o tedeschi , che a loro volta propongono links a pharmacy

Che la vendita online di pharmacy sia molto diffusa lo vediamo da questo articolo apparso su Rai News dove si informa di una serie di arresti collegati ad indagini sulla produzione e distribuzione online di farmaci 'taroccati'

A riprova della forte diffusione di tecniche di SEO poisoning c'e' anche da rilevare, che la stessa RAI in passato , non e' stata esente da tentativi di utilizzo di proprie pagine per fare “pubblicita'” a prodotti di pharmacy , come vediamo da una attuale ricerca Google

con links a pagine che, a distanza di quasi un anno, riportano ancora i segni dell'attacco subito

Edgar

Siti compromessi .IT (agg. 23 giugno)

Praticamente tutti i siti IT hostati su

presentano questa mattina (ora thai) la homepage sostituita da

Ecco il report

Edgar

martedì 22 giugno 2010

Phishing CR Ferrara, statistiche ed ancora Innovastudio (agg. 22 giugno)



L'amico Denis del blog http://www.denisfrati.it/ mi segnala ancora un phishing ai danni di CR Ferrara.
Questa volta e' interessante esaminare il sito che esegue il redirect su quello finale di phishing CR Ferrara in quanto, abbiamo nuovamente la presenza di dettagliate statistiche che ci permettono di conoscere i probabili mezzi utilizzati per includere i codici di redirect.
Il codice di redirect e' ospitato su IP

dove abbiamo un un sito compromesso che permette, tra l'altro, la consultazione online delle statistiche.

Si tratta di una applicazione gia' vista in passato, che fornisce dettagli interessanti e di cui vediamo alcuni screenshot:

Questo il log degli accessi al sito dove si nota che il mese di giugno, probabilmente a causa del redirect al phishing, vede un traffico notevolmente aumentato, rispetto ai mesi precedenti.


Questa invece la pagina che elenca quello che i visitatori hanno consultato, e come si vede il file /uta.htm, (codice di redirect al phishing CR Ferrara) e' quello con il maggior numero di accessi

Nella lista dettagliata notiamo anche due riferimenti al 'solito' asset manager di Innovastudio” gia' visto in precedenti casi di siti di redirect a phishing CR Ferrara

Possiamo vedere anche diversi riferimenti a shells ed uno ad un codice html denominato hacked.

Questo come appare il pannello di controllo InnovaStudio presente sul sito

Per quanto si riferisce alla provenienza dei visitatori vediamo un dettaglio del log con evidenti riferimenti ad IP italiani ed anche uno relativo a Phishtank , noto sito che si occupa di phishing.

La cosa forse piu' interessante, che potrebbe anche confermare come chi voglia compromettere un sito, trovi aiuto dalla presenza di AssetManagers InnovaStudio, la vediamo in questo log delle keyword e keyphrases utilizzate per trovare il sito in questione

Come si vede, si tratta di riferimenti ad asset manager sotto forma anche di dorks che sembrerebbero confermare un forte interesse nella ricerca di siti che utilizzano InnovaStudio e in particolare rendono disponibile l'interfaccia di upload dei contenuti.

Edgar

Siti compromessi .IT (agg. 22 giugno)

Un alto numero di siti IT hostati su

presentano questa mattina (ora thai) una pagina inclusa, ma in alcuni casi anche la homepage sostituita da questa pagina

Ecco il report


Edgar

lunedì 21 giugno 2010

Siti compromessi .IT (agg. 21 giugno)

Una quarantina di siti hostati su

presentavano questa mattina (ora thai) la homepage sostituita da

Questo il report Webscanner

Alcuni siti presentano inoltre la medesima pagina inclusa al loro interno, portando il totale delle pagine rilevate con Webscanner a 58 e sempre sul medesimo IP.

Edgar