giovedì 30 settembre 2010

Ancora phishing con allegato eseguibile ( 30 settembre)

L'amico Denis Frati mi invia una mail di phishing che ha ricevuto oggi e che , differentemente dal solito , contiene un allegato sotto forma di file eseguibile.

Avevamo gia' visto recentemente un caso simile che colpiva utenti CartaSi
Questa la mail che tenta di farsi passare come inviata da Cedacri (azienda italiana di servizi informatici per il mondo bancario)

e che presenta un allegato eseguibile denominato hbnet.cedacri.it.exe.(diverso comunque come nome e dimensioni rispetto a quello visto in passato su mail CartaSi)

Una prima analisi VT dell'eseguibile mostra questi risultati classificando il file come generico trojan VB.


A questo punto eseguendo una analisi anche se non approfondita, sul codice dell'eseguibile si scopre la presenza di una stringa di testo corrispondente ad una url

che passata al browser mostra

Il dubbio e' che il file eseguibile sia praticamente un codice che una volta lanciato mostri un form collegato al phishing (sempre non escludendo la presenza di un eventuale codice che svolga altre funzioni di reale virus trojan).

Una analisi Threat Expert conferma la presenza della creazione di una finestra di messaggio contenente pero' una pagina web non relativa al form e comunque evidenzia la presenza di un collegamento a sito uguale a quello rilevato nell'eseguibile.

Per avere qualche ulteriore dettaglio proviamo ad eseguire il file in VirtualBox monitorando anche la connessione di rete onde visualizzare eventuali comunicazioni tra software trojan in esecuzione ed Internet.

Ecco cosa appare eseguendo hbnet.cedacri.it.exe

Si tratta di una finestra a video denominata hbnet.cedacri.it che mostra il form visto prima nel browser

Compilando i vari campi presenti e monitorando la connessione si puo' notare come solo al momento dell'invio dei dati sia stabilito un collegamento al sito compromesso hostato su server USA che contiene il codice php che si occupa dell'invio dei dati catturati al phisher

Appare quindi evidente che l'allegato in mail svolga la medesima funzione di un allegato html normalmente usato in precedenti casi di phishing.

Anche se non e' da escludere l'eventuale possibilita' di una azione con caratteristiche di programma trojan, basandosi su quanto rilevato dalla connessione monitorata al momento del lancio del .exe, parrebbero non esserci evidenze di invio o download di altri files eseguibili sul pc tranne che il caricamento del form e l'invio delle credenziali digitate nello stesso.

Una volta eseguito l'invio dei dati catturati il codice php presente sul sito compromesso carica sul browser il reale sito Cedacri IT.

Edgar

Nessun commento: