venerdì 2 luglio 2010

Phishing BCC (agg. 2 luglio)

Ricevuta ancora una mail di phishing ai danni di BCC

di cui vediamo un dettaglio del source

dove notiamo i due indirizzi web delle immagini dei loghi presenti in mail ed il link al sito di phishing.

Una analisi della struttura del sito compromesso giapponese

che ospita il phishing

mostra la presenza di un semplice codice php di shell

Questo fatto ci permette di analizzare nei dettagli anche quella parte di codice php che si occupa, una volta effettuato il login, di raccogliere i dati personali e di inviarli al phisher per poi successivamente linkare al reale sito della banca.

Il codice ci mostra come vengano richiesti ulteriori codici ed anche il codice fiscale di chi cadesse nel tranello della falsa mail BCC

Ecco come appare in dettaglio il login fasullo sul sito clone BCC

che confrontiamo con quello reale di Banca BCC

Da notare come sul reale ed attuale sito sia presente anche un riferimento ai mondiali di calcio 2010, cosa che non appare sul phishing.

Questo avviene perche' di solito il layouts di un sito clone, viene utilizzato per diverse azioni di phishing anche a distanza di qualche settimana dal momento della sua creazione e capita' cosi ' di vedere pagine di phishing 'datate' ed anche con layout molto diverso da quello dell'attuale e legittimo sito della banca.
Questo fatto puo' essere un ulteriore elemento da analizzare quando si visita un sito di banca online e si notano riferimenti e/o date relativi ad eventi di qualche mese prima.(e' persino capitato di vedere pagine di phishing posteIT che proponevano bonus natalizi a parecchi mesi di distanza dalle ultime festivita')

Tornando al source del file che si occupa di inviare i dati raccolti possiamo vederlo in dettaglio ed in maniera piu' leggibile in questo screenshot

dove notiamo che:

- viene acquisito l'IP di chi ha effettuato il login (probabilmente per filtrare meglio login non interessanti, es. non italiani)

- viene acquisito anche il codice fiscale che potrebbe servire a supporto di azioni illecite

- e' indicata l'url che redirige sul reale sito BCC in maniera insolitamente dettagliata con un indirizzo che comprende anche una parte codificata in base64

Edgar

4 commenti:

Michele Manzotti ha detto...

Nel caso in cui non ci fosse stata una shell php come avresti analizzato il codice? Ti saresti dovuto fermare?

Edgar Bangkok ha detto...

Come scrivo nel post “..la presenza di un semplice codice php di shell.........ci permette di analizzare nei dettagli anche quella parte di codice php che si occupa, una volta effettuato il login, di raccogliere i dati ...........”

In mancanza della shell disponibile sul sito ed accessibile direttamente dal browser mi pare chiaro che in questo specifico caso, i contenuti non visualizzabili online del sito compromesso rimangono tali.

L'alternativa a questo, per chi volesse esaminare in dettaglio i contenuti di phishing nel sito coinvolto, a meno di non esserne chi lo amministra, sarebbe quella di cercare la presenza di una qualche vulnerabilita' (che dovrebbe essere presente in quanto si tratta comunque di sito compromesso per includere phishing) e sfruttarla per 'dare una occhiata' ai contenuti.

Esistono in rete tutte le info necessarie per sfruttare le piu' comuni vulnerabilita' esistenti con dettagli su come procedere,ma questo esula i contenuti di questo blog.

Ricordo anche che una buona parte di siti compromessi di phishing sia di redirect od utilizzati per ospitare il sito clone, mettono a disposizione diverse possibilita' di analisi anche senza usare shell presenti. Si va da contenuti del sito visualizzabili direttamente modificando l'url nel browser , alla presenza di file compressi che contengono il kit di phishing con tutto il contenuto del sito compreso codici php come quello visto oggi nel post, sino ad arrivare alla presenza di logs o statistiche online che elencano gli accessi ai vari files, che diventano cosi' visibili e spesso scaricabili ed analizzabili

Michele Manzotti ha detto...

Ti ringrazio per l'esaustiva risposta.

Saluti.

denis ha detto...

il problema dell'analisi del codice delle pagine del phisher, così come di tutte le altre importanti informazioni rintracciabili su un server, per correlare ad esempio tempi di creazione/modifica file con indirizzi ip di chi compie l'azione, svolte attraverso l'uso di una shell php che consente un "accesso" ad un server...sta appunto nella modalità dell'accesso, che probabilmente limita fortemente l'utilizzo di tali informazioni in processo.
I "puristi" della digital forensic sosterrebbero che i risultati così acquisiti non sono certi, perchè i programmi con cui vengono lanciati i comandi di sistema (stat), o che sono addetti alla raccolta dei logs, per esempio, potrebbero essere stati modificati dall'aggressore per raccogliere informazioni non corrette o per non raccogliere certe informazioni.
Da questo punto di vista la giurisprudenza limita fortemente l'attività.
Nonostante questo sono convinto che, nell'impossibilità di ottenere cooperazione dai titolari di quei server, il modo di operare di Edgar sia l'unico possibile.