martedì 30 novembre 2010

Phishing Valsabbina (agg. 30 novembre)

Stessi siti con Easy Content file manager visti oggi per supporto a phishing Monte Parma attualmente anche in parte utilizzati per redirect a clone banca Valsabbina su servizio USA di web hosting

Ecco i codici di redir che vengono aggiornati costantemente ed a intervalli di tempo abbastanza brevi



e qui con time aggiornato


e relativo links modificato al phishing (sempre stesso dominio ma differente folder)

Questo altro codice di redir su diverso sito sempre che utilizza Easy Content f.m.


e che punta sempre a clone Valsabbina hostato sul medesimo dominio a cui puntano gli altri redirect visti ora.

Edgar

Phishing Monte Parma (agg. 30 novembre)

Continua la campagna di phishing ai danni di banche IT a diffusione prevalentemente regionale, phishing che, al momento, sembra prendere di mira con insistenza banca Monte Parma.

Attualmente sono attivi ben due siti che attraverso l'uso dell'interfaccia Easy Content File Manager permettono la gestione dei codici di redir.
Ecco il primo sito, gia' usato comunque per phishing recente ai danni di banca Valsabbina

ed ecco il secondo sito con ben 3 codici di redir

In tutti i casi (si veda anche le date recenti di aggiornamento dei files) viene eseguito un redirect

nuovamente su clone Monte Parma creato su servizio di free hosting Altervista,

su server italiano

C'e' da notare che i phisher includono il codice clone sul dominio free appena creato senza peraltro utilizzare nessuna index page come si nota da questo screenshot.

Si tratta di una buona opportunita' per i phishers in quanto il dominio free usa e getta puo' essere facilmente creato ed a costo zero, e restera' online da poche ore sino a qualche giorno per essere poi sostituito da altro simile sia su servizio free ma anche su hosting a basso costo es. su server USA, senza dimenticare la possibilita' di usare siti compromessi o che mettono a disposizione file managers liberamente utilizzabili da remoto (vedi es. Innova Studio file manager)

Edgar

domenica 28 novembre 2010

Distribuzione malware attraverso link su forum IT a pagine web dal layout ingannevole (agg. 28 novembre)

Ancora post su forum IT creati allo scopo di diffondere , anche attraverso l'indicizzazione dei contenuti da parte dei motori di ricerca, links a malware (probabile fake AV)

Questo uno dei post

di cui vediamo anche alcuni dettagli dell'autore dei numerosi messaggi

Il link presente punta a diversi layout di pagina piu' o meno ingannevoli ed hostati su range ip

Ecco ad esempio questo falso scanner online, che e ' un 'classico' tra i vari layout di fake AV presenti in rete

e che propone questo eseguibile

Piu' interessante , alla seconda interrogazione del link sul post, questo fake sito di filmati porno

con player e lista movies cliccabile.

Come si vede il layout e' abbastanza curato e propone , cliccando sul player, questa fake finestra di avviso 'Adobe Flash Player'

che simula il download di un aggiornamento Flash player finito il quale abbiamo

con tentativo di far scaricare il file Adobe_flashplayer_update_nov.2010.exe

Come si vede una interfaccia molto curata per ingannare maggiormente chi cliccasse sul fake player.

Per quanto si riferisce al contenuto degli eseguibili proposti , una analisi degli hash codes dimostra che si tratta, in entrambi i casi, del medesimo codice

visto da VT come

ed anche questa volta con riconoscimento abbastanza basso da parte dei reali softwares AV

Edgar

sabato 27 novembre 2010

Phishing Banca Monte Parma e Banca Valsabbina (aggiornamento 27 novembre)

Banca Monte Parma

Al momento si stanno ancora utilizzando codici di redirect gestiti attraverso una interfaccia Easy Content File Manager hostata sempre sul medesimo sito utilizzato nei giorni corsi.

Nel pomeriggio di ieri (26 novembre) si e' assistito all'ennesima e ripetuta modifica dei codici di redirect (vedi data e time dei files presenti )

e successivamente

sempre sullo stesso sito finale di phishing, di cui scrivo nel precedente post, ma modificando comunque i percorsi dove sono presenti i cloni delle pagine Monte Parma.


Questa mattina (10 AM thai time del 27 novembre ) abbiamo nuovamente la modifica dei codici di redirect

che puntano sempre al medesimo dominio con Asset Manager Innova Studio e diverso nome del file contenente il phishing Monte Parma


Banca Valsabbina

Ricevuta nel pomeriggio di ieri (26 novembre) mail di phishing

che conferma come avevamo visto qui , la presenza di un nuovo nome di file di redir che puntava comunque sempre a sito di phishing su stesso dominio del precedente phishing Valsabbina..

Nella mattinata odierna (27 nov.) il file di redir e stato cancellato dal sito ed ora, per il momento , non abbiamo piu' raggiungibile il phishing Valsabbina.

E' comunque probabile che nelle prossime ore, se i phishers vorranno continuare l'azione ai danni di Valsabbina, vengano creati nuovi redirects e pagine clone utilizzando uno dei vari metodi visti in questi giorni (uso di Easy Content File manager, Innova Studio file manager, utilizzo di siti compromessi e servizi di hosting free o a pagamento per hostare le pagine di phishing)

Edgar

venerdì 26 novembre 2010

Phishing Banca Monte Parma e Banca Valsabbina (aggiornamento 26 novembre)

Banca Monte Parma:

Al momento si stanno sempre utilizzando codici di redirect gestiti attraverso una interfaccia Easy Content File Manager hostata sul medesimo sito visto ieri

Nella serata di ieri (ora thai) e' stato presente per qualche tempo un codice di redirect

che puntava a sito italiano

compromesso con l'inclusione del clone Monte Parma.

Dopo pochi minuti dall'analisi (circa mezz'ora) vediamo che il codice viene nuovamente modificato (notare il time relativo a scak.htm )

e punta a sito USA con Asset manager Innova Studio e files di phishing inclusi come vediamo dallo screenshot.


Questa mattina (26/11) abbiamo nuovamente delle novita' che riguardano la comparsa , oltre a quello gia' presente, di un nuovo codice di redirect

Entrambi i codici presentano data e time aggiornati ed il link contenuto punta nuovamente a sito IT compromesso,

diverso da quello del 25/11, con la seguente struttura di phishing

e la consueta pagina di login



Banca Valsabbina:

Anche in questo caso si nota rispetto ad ieri (25/11) la comparsa di un nuovo codice di redirect che si aggiunge a quello gia' presente e sempre gestito attraverso una interfaccia Innova Studio

che punta al phishing sempre su sito di hosting USA e differente percorso di folders che ospitano il phishing Valsabbina

In conclusione due azioni di phishing che procedono al momento 'in parallelo' anche considerando che in entrambi i casi si rileva, sui siti che effettuano il redirect, un nuovo codice di phishing che si va ad aggiungere a quello esistente . (probabile invio di nuove mails con links diversi rispetto alle precedenti)

Edgar

giovedì 25 novembre 2010

Ancora phishing Banca Valsabbina usando Innova Studio file manager (aggiornamento 25 novembre)

Appena terminato il precedente post che ecco arrivare l'ennesima mail di phishing che dimostra come sia in corso una intensa attivita' sempre ai danni di banche italiane a diffusione regionale.

Ecco la mail ai danni di Banca Valsabbina

che propone un interessante link dal quale possiamo ricavare utili informazioni

Il link in mail punta infatti a sito con whois

che ancora una volta presenta l'interfaccia di amministrazione dei contenuti Innova Studio con alcune sorprese visto che sono stati uploadati sul sito due diversi contenuti di phishing e precisamente:

1) questo codice html che propone, senza utilizzare redirect,


una pagina clone di Cariparma direttamente hostata sul sito


Anche se la pagina e' correttamente visualizzata al momento di confermare il login abbiamo un messaggio di errore dovuto alla impossibilita' di eseguire il codice uploadato con asset manager.

2) questo codice di redirect,


raggiungibile tramite link in mail, ed in differente folder, che invece punta ad hosting USA dove e' presente il clone Valsabbina.


Per quanto si riferisce al redirect su hosting USA ampiamente utilizzato in queste settimane, si tratta di un dominio creato al momento, per ospitare cloni di phishing e che di solito rimane online molto poco.
Tra l'altro, cosa comune in questi casi, viene spesso cambiato il percorso nel quale sono ospitati i codici di phishing pur rimanendo sempre il medesimo nome di dominio, e questo per evitare eventuali blacklists degli indirizzi di phishing.

Il sito clone Valsabbina ricalca il medesimo visto l'altro ieri in questo post, ma naturalmente i links sono cambiati visto che in precedenza veniva usato un sito , sempre che utilizza Innova Studio file manager

ma locato in


Edgar

Un'altra 'puntata' del phishing ai danni di banche italiane attraverso Easy-Content e Innova Studio file manager (25 novembre)

Ecco la situazione attuale (ore 8.24 AM thai time (2.24 M italian time)) del phishing ai danni di banche italiane supportato dall'uso di applicazioni files manager non correttamente configurate che permettono il libero accesso da remoto all'amministrazione dei files.

Attualmente viene utilizzato Easy-Content file manager hostato su server

file manager, che mostra il file contenente il codice di redirect 'aggiornato' da poco

Questo il codice presente

che redirige su sito con whois

con accessibile, da remoto, la ben nota interfaccia Innova Studio di amministrazione dei contenuti


Come si vede 'il phisher utilizza due folders agenda' e 'agenda/parma_files' nei quali sono stati uploadati i codici clone di Banca Monte Parma.

Ecco la pagina di phishing relativamente al login fasullo

Una volta acquisiti i dati (login e codici PIN attraverso altra pagina clone) si viene rediretti sul reale sito Monte Parma.

Edgar

mercoledì 24 novembre 2010

Phishing Verified by VISA e Banca Carige (24 novembre)

Phishing Verified by VISA:

Si tratta di questa mail di phishing


che punta a fake pagina di login Verified By VISA.

hostata su

La registrazione del dominio che ospita il clone di phishing e' di ieri

mentre e' interessante esaminare, nel source della pagina, un riferimento ad altro sito, da dove probabilmente e' stato ricavato l'attuale codice

Si tratta di sito con whois francese

probabilmente compromesso e che ospita lo stesso phishing sempre ai danni di Verified By VISA.


Phishing Banca CARIGE

Allegato .html in mail

per questo odierno phishing CARIGE, che presenta un semplice form di login

che acquisisce i dati personali

attraverso un sito con whois Korea e che risulta sviluppato in Zeroboard

come gia' accaduto spesso in passato in analoghi casi di phishing ai danni di banche italiane..

Edgar