martedì 31 agosto 2010

Phishing (agg.31 agosto)

Nelle ultime settimane il numero di mails di phishing ricevute, se si esclude quelle ai danni di Cariparma, e' stato veramente basso, cosa che potrebbe far pensare che i phishers considerano il periodo estivo non favorevole alle loro attivita'.(minore utilizzo dei PC, ferie ....)

Vedremo se a partire da Settembre, ci sara' nuovamente un incremento del phishing o se ci troviamo fortunatamente di fronte, almeno per le mails riferite a banche italiane, ad una tendenziale riduzione del problema.

Queste comunque le due mails giunte oggi, di cui vediamo alcuni dettagli.

La prima riguarda BCC

e propone un allegato form che vediamo nello screenshot

Alcuni dei links, ad esempio quello all'immagine del logo della banca presente nel form , sembrano non essere funzionanti.

Il form sfrutta per acquisire i dati di login un codice php
ospitato su sito USA probabilmente compromesso, e che un whois mostra essere online da tempo.

La cosa interessante e' che mentre la homepage del sito non dimostra l'esistenza di contenuti web

una analisi approfondita porta a scoprire al suo interno un sito di piattaforma di E-learning e precisamente Atutor (Open Source Web-based Learning Content Management System - LCMS.)


L'ip di provenienza della mail risulta tra quelli presenti in Spamhaus e conferma precedenti mails sul medesimo IP ai danni proprio di BCC .



Altra mail di phishing invece questa ai danni di Cariparma

che presenta links a redirect,

su sito vietnamita compromesso (come si nota anche dalla pagina di hacking inclusa nello stesso)

e sito finale di phishing da queste parti (Thailandia) come gia' visto nel precedente post, con la sola differenza del sito di redirect che la volta scorsa non era su IP vietnamita ma norvegese

Anche in questo caso l'IP da cui proviene la mail risulta gia' utilizzato in passato specialmente per invio di spam di pharmacy e di 'repliche' di orologi, borse ecc........

Edgar

lunedì 30 agosto 2010

Hacking e Phishing. Due attivita' in rete spesso collegate. (30 agosto)

Nel quasi quotidiano scambio di info tra il sottoscritto e l'amico Denis Frati, al riguardo del fenomeno Phishing che coinvolge Banche italiane, capita anche di trovare riferimenti ad hacking di siti IT per scopi diversi (SEO poisoning, distribuzione di malware, falsi AV ecc...)

E' il caso questa volta del sito .IT segnalatomi, attualmente collegato al phishing CartaSI e del quale, appena letta l'url, ho ricordato aver gia' rilevato in passato, problemi di hacking.

Ecco la conferma analizzando la homepage del sito .IT che oggi mostra

e nel cui source possiamo notare un iframe nascosto

e link a sito porno in lingua turca (con relativo codice allegato)

ma hostato su server USA (hoster gia' visto parecchie volte in passato al riguardo di siti di dubbia affidabilita')


Il medesimo Iframe e' rintracciabile attualmente (date recenti) in rete, anche su altri siti che linkano al medesimo sito porno.

Come si vede, uno stretto collegamento tra siti vulnerabili e pagine di phishing, non escludendo che ci possa essere, a volte, una 'collaborazione' tra chi compromette i siti per azioni di hacking, SEO poisoning ecc.., e chi li utilizza a supporto del phishing.

Edgar

domenica 29 agosto 2010

Distribuzione falso AV attraverso sito compromesso IT (29 agosto)

AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di links ad eseguibili poco riconosciuti dai reali softwares AV.

Una ricerca Google segnala attualmente quasi 300 riferimenti (date e time recenti)

a sito web IT hostato su

Si tratta di un sito web sulla cui homepage parrebbe essere presente un redirect a layout piu' aggiornato, sempre riferito al medesimo sito, ma su differente IP.

In ogni caso appare evidente come siano stati inclusi centinaia di codici, che in maniera automatica redirigono, attraverso diversi siti intermedi

alla pagina finale che distribuisce il malware, creando tra l'altro, un SEO poisoning molto efficace.

Questa la pagina di fake player proposto

che distribuisce, come al solito, un eseguibile pochissimo visto dai reali softwares AV

Da notare che modificando l'url della pagina linkata, scopriamo un'altra pagina web di fake player

questa volta su IP

e che distribuisce il medesimo file eseguibile.(nei casi visti adesso molte volte il file EXE viene prelevato da diverso sito rispetto a quello che ospita la pagina)

Questi alcuni degli exe scaricati durante l'analisi( il numero in parentesi e' aggiunto dal gestore del downlaod per non sovrascrivere piu' files con lo stesso nome - inst.exe )

Visto che VT non presenta molti dettagli al riguardo del malware, proviamo ad eseguire uno dei files scaricati, e questa volta con Windows 7 in Vbox sotto Linux,

Come si vede si tratta di fake Av denominato SecurityTool , che parrebbe attualmente venire diffuso anche attraverso mails di spam come si legge in rete sul sito AVIRA Fake Antivirus “SecurityTool” spreads via Social Security Spam …........

C'e da rilevare che, anche se Avira afferma “...Avira is detecting the fake antivirus as TR/FakeAV.HA and the backdoor component as BDS/Reberi.A. ...” in effetti una attuale ricerca VT vede solo 6 reali Av riconoscere il pericolo.
Si tratta di un caso abbastanza comune quando si tratta di false applicazioni Av che mutano costantemente codice per eludere maggiormente il loro riconoscimento.

Una interessante particolarita' di questa rogue application e' quella di essere multilingue disponendo anche della scelta della lingua italiana, ma con risultati al limite del comico

Ecco un popup che presenta diverse traduzioni in italiano veramente 'originali'

Si va' dai virus trovati definiti come '...oggetti che infettisono......' sino ad un '..Declino del sistema ….” passando per '..maniccie..' e '...stato indifeso.....' .

Questo e' invece il form di registrazione del prodotto !!! che tra l'altro non sarebbe neanche dei piu' economici se fosse un reale software AV.

Come tutte le applicazioni fasulle Av una volta installata la sua rimozione non sara' delle piu' agevoli, cosa che fa sempre consigliare di informarsi molto bene prima di eseguire sul nostro pc applicazioni di cui non si conosce la provenienza (specialmente se proposte da falsi player online o da mails di spam).

Edgar

Phishing CARIPARMA e Innova Studio (29 agosto)

Nuovo phishing Cariparma segnalato sul DB di Antiphishing Italia (ID.3923 del 28/8/2010)
Si tratta, ancora una volta di phishing, abbastanza semplice nei contenuti (una sola pagina) che, dopo aver acquisito i dati personali di login, redirige sul reale sito CARIPARMA e specificatamente su una pagina che tratta del sistema di sicurezza Securcall adottato dalla banca proprio per contrastare possibili azioni di phishing.

Come vediamo da questo report abbiamo il consueto utilizzo di redirect

con codice

che tramite sito compromesso norvegese

punta a sito da queste parti (THAI) che, in dettaglio, ancora una volta presenta la nota interfaccia di amministrazione Innovastudio, probabilmente coinvolta nell'upload dei contenuti di phishing.

Edgar

venerdì 27 agosto 2010

Proposta multipla di fake AV. Cosa succede installando gli eseguibili.

Nel precedente odierno post abbiamo visto come venga effettuata, attraverso un sito fake di scansioni multiple online (e con supporto anche di un video), la distribuzione di ben 5 diversi eseguibili fake AV

Vediamo ora cosa succede installando qualcuna delle applicazioni fake AV presenti.
Il test e' stato eseguito su XP sp3 in Virtual Box sotto Linux, cosa che se da un lato puo' avere qualche limite considerato che siamo su PC virtuale dall'altro ci fornisce comunque una indicazione accettabile di cosa succederebbe ad un normale utente internet che lanciasse uno degli eseguibili scaricati dal sito di fake scanner online.

Ecco la finestra di install di Pest Detector 4.1

che in pochi secondi ci informa della sua corretta installazione sul nostro pc.

Come accennato nel precedente post, una volta confermata l'installazione abbiamo il reset del computer e da qui inizia una serie di problemi, tutti abbastanza seri.

Non si tratta infatti di fake AV che si limita a visualizzare qualche fastidioso menu pop-up dicendo che il nostro PC e' infetto ma, nei casi esaminati, abbiamo inizialmente la scomparsa di tutte le icone dal desktop, barra delle applicazioni, menu' di avvio ecc....

sostituiti una unica finestra con un solo pulsante di “Safe Startup” abilitato.

Una volta cliccato compare una indicazione di attivazione della scansione del PC

e , guarda caso, il fatto che alcune applicazioni, tra cui i browsers installati, non possono venire 'bonificati, dal malware che gli ha colpiti.

Questo accade perche' veniamo informati che un 'fantomatico' HEURISTC module che dovrebe servire a rimuovere il malware, e' disponibile solo a pagamento registrando il programma fake AV

Scegliendo “continue unprotected” le icone riappaiono ma purtroppo cliccando su quelle dei browser segnalati dalla scansione come infetti ecco un messaggio

che ci informa del blocco dell'esecuzione degli stessi in quanto infetti

In pratica sia i browser ma anche altri eseguibili vengo bloccati dal fake AV lasciandoci senza l'uso di internet , cosa che ci servirebbe per trovare qualche indicazione per bonificare il computer.

Lanciando uno degli altri eseguibili di installazione possiamo notare medesimi layout di scanner e di messaggi da parte del software, cambiando solo i colori ed alcune scritte relative all'identificazione del falso AV in esecuzione.

Una analisi della connessione al lancio dell'install mostra

cosa che conferma il nome di hoster Est Europeo apparso proprio qualche giorno fa, al riguardo di altri fake Av distribuiti in rete.

Edgar

Proposta multipla di fake AV. Forse 'l'attuale stato dell'arte' in fatto di distribuzione di rogue AV applications



AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare il sito elencato se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di links ad eseguibili poco riconosciuti dai reali softwares AV.

Sunbelt Blog segnala la presenza in rete di un trojan che una volta in esecuzione sul pc, dopo qualche minuto dalla suo avvio, mostra un falso avviso di presenza malware.

Il sito a cui si viene linkati cliccando sulla finestra di avviso malware e' curato nei minimi particolari, e cosa piu' unica che rara in questi casi, usa anche un video di 'presentazione” per dare una veste di ufficialita' ad una distribuzione multipla di ben 5 false applicazioni AV.

Vediamo gli interessanti dettagli:

Ecco cosa succede all'apertura della pagina linkata (filmato .flv)



Notate in basso la barra di aggiornamento "SCAN in progress"

Si tratta di un breve filmato 'introduttivo' che, oltre alla simulazione di una scansione del nostro PC, evidenzia i pericoli in rete relativi alla distribuzione di malware, e terminato il quale viene proposta questa pagina

E' un layout che vuole apparire come un servizio online di scansione multipla antivirus e che, solo per i software che hanno rilevato un pericolo (guarda caso i fake AV) ne consente il download

ed in dettaglio



Chiaramente si tratta di false applicazioni AV che una analisi VT rivela essere pochissimo riconosciute come pericolose:

Tra l'altro alcuni di questi fake AV, da quanto riportato in rete, al momento della loro installazione sembrano agire in maniera 'energica' eseguendo un reboot del pc e bloccando l'esecuzione di Windows Explorer con la conseguente scomparsa di tutte le icone dal desktop.

Sia il filmato .flv


che le immagini usate nella pagina di 'presentazione' della scansione multipla

sono hostate su diverso sito USA e non sul sito koreano di free hosting


(continua)

Edgar