domenica 31 gennaio 2010

Forums .IT con links a malware (agg.31 gen.)

AVVISO ! Ricordo, come sempre, che anche se alcuni links sono in chiaro, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc...

Sempre molto attivo l'uso di forum IT male o per niente amministrati, che propongono posts con links a malware e falsi AV.
Si tratta sempre di post creati da utenti 'fake' solo allo scopo di diffondere i links pericolosi.

Ecco un esempio di post su forum IT

che questa mattina proponeva links a questa pagina di falso player

che distribuisce un eseguibile spacciato come addon video.
Una analisi VT mostra


Questa volta, l'eseguibile ha un codice che si modifica ad ogni nuovo download praticamente in tempo reale, come si nota dagli hash dei files malevoli scaricati piu' volte con intervallo di qualche secondo l'uno dall'altro.


Piu' interessante questo forum, sempre IT, (notare la data aggiornata ad oggi per gli ultimi posts)


che propone links ad un nuovo layout di falso sito di filmati con contenuti porno

Questa nuova distribuzione di eseguibili, come install di flash player,

vede una analisi VT


identificare il malware anche come file Waledac (la nota botnet) e non come succede sempre piu' spesso ultimamente, come fake AV.

Potrebbe quindi trattarsi di un nuovo tentativo di ampliare la botnet in previsione del suo utilizzo per la prossima ricorrenza di San Valentino che ha sempre visto negli ultimi anni, l'uso di botnet per distribuire spam pericoloso.

Al momento un whois del falso sito di filmati punta a

Edgar

sabato 30 gennaio 2010

Aggiornamento 30 gen., siti compromessi .IT con javascript che linka a Torpig Domain

Ecco alcuni siti

che al momento di scrivere il post presentano ancora incluso lo script java offuscato malevolo visto nei giorni scorsi e che sfrutta le API di Twitter per creare il nome di dominio a cui redirigere il visitatore del sito compromesso.

Oltre a quelli ancora hostati su Aruba ne abbiamo anche 2 su differente IP


Ad esempio, questo sito della nota marca italiana di biciclette da corsa Colnago (anche se non pare essere il sito ufficiale attivo ed utilizzato attualmente ( che e' www.colnago.com) ma forse un vecchio sito con questa homepage


e con evidente nel codice lo script offuscato

Il nome dell'indirizzo web linkato generato dallo script e' in linea con quanto indicato da http://www.unmaskparasites.com/security-tools/torpig-domain-generator.html

Edgar

venerdì 29 gennaio 2010

Phishing CartaSI tutto su servers .FR

Si tratta di una delle tante mails di phishing ricevute che questa volta e' ai danni di CartaSI


Il contenuto, a parte il 'solito' bonus stile phishing PosteIT, e' comunque impreciso, in quanto riferito al 2009 , mentre nell'oggetto si legge 2010.
Il phishing si distingue per essere completamente hostato su servers .FR e precisamente, con redirect utilizzando sito su

attraverso questo codice
che punta al sito finale di phishing CartaSI di cui vediamo la struttura e che ospita un folder creato oggi
Al suo interno abbiamo sia il sito di phishing che il KIT utilizzato per crearlo che presenta comunque contenuti datati (fine 2008 e inizio 2009)



Questo un whois del sito di phishing hostato su sito FR probabilmente compromesso

Edgar

Phishing 29 gennaio 'Banca Intermobiliare di Investimenti e Gestioni'

Tra le varie mails ricevute vediamo questa ai danni di 'Banca Intermobiliare di Investimenti e Gestioni' che prende di mira una banca che, almeno al sottoscritto, non e' mai apparsa tra quelle normalmente soggette al phishing.
Da Wikipedia si apprende che
' ............. Banca Intermobiliare di Investimenti e Gestioni e' la holding di un gruppo bancario privato ed indipendente con sede a Torino che si occupa esclusivamente di private banking e wealth management, anche se negli ultimi anni ha ampliato i servizi anche nell'ambito dei finanziamenti. Fondata a Torino nel 1981, Intermobiliare S.p.A. e' cresciuta fino alla quotazione alla Borsa di Milano, avvenuta nel 1991 (Borsa Italiana: BIM , Borsa Italiana: BIM15 ), e l’evoluzione da Commissionaria a Sim polifunzionale (1993). Infine nel 1997 si e' trasformato in Banca Intermobiliare di Investimenti e Gestioni SpA. ......."

Questa la mail, attiva da qualche giorno,

che riporta come mittente un'altra banca e precisamente la Banca di Cividale di cui possiamo trovare qualche dettaglio su Wikipedia:;

'.........La Banca di Cividale SpA e' una banca con sede a Cividale del Friuli (UD) fondata nel 1886, e' posseduta dal Gruppo Banca Popolare di Cividale, a cui dal 2000 al 2003 si e' affiancata la Deutsche Bank, sostituita poi come socio di minoranza dal Credito Valtellinese. La banca e' presente con 60 filiali in Friuli Venezia Giulia ed in Veneto, possiede partecipazioni in Mediocredito FVG, Dezelna Banka (Slovenia) e BpB di Pristina. Nel 2009 ha acquisito il 51% di NordEst Banca...........'

Probabilmente chi ha attuato il phishing ha utilizzato una mail appartenente ad altra azione di phishing.

Una volta cliccato sul link in mail, si viene rediretti, tramite un sito vietnamita

sul sito finale di phishing hostato, ancora una volta, nuovamente su Yahoo, che nelle ultime settimane sembra essere uno dei servizi di hosting piu' utilizzati dai phisher

Introdotti i dati di login si apre la pagina 'reale', del login al servizio Cedacri (azienda di servizi informatici e finanziari per banche ....ecc...)

In questo caso si tratta di un tentativo per ingannare chi effettuasse il login sul sito di phishing,.
Viene infatti utilizzato un link ad un reale servizio utilizzato da 'Banca Intermobiliare di Investimenti e Gestioni' come possiamo vedere consultando il reale sito della banca.

(al momento il servizio di home banking appare comunque OFFline).

Edgar

Blog, immagini e screenshots. Nota di servizio

Chi segue il blog, avra' sicuramente notato che le immagini (in genere screenshot) presenti sul blog sono sempre numerose e questo perche' ritengo che aiutino a capire meglio quanto trattato nei posts pubblicati.
Purtroppo, per questa ragione, lo spazio che ho a disposizione per hostare i file immagine allegati ad ogni singolo post si va esaurendo rapidamente

costringendomi a breve, a cancellare le immagini allegate ai post piu' vecchi (anni 2007 - 2008 - 2009) per liberare spazio sul mio account Blogger.

Dato che voglio comunque mantenere online, per chi li volesse consultare, i post piu' datati con le relative immagini allegate, ho pensato di esportare una copia del blog su un vecchio account Wordpress di cui disponevo, ma che non era mai stato utilizzato, e precisamente www.edetools.wordpress.com creando un mirror dell'attuale edetools.blogspot.com

In questo modo, quando avro' rimosso le immagini dai vecchi post, ne rimarra' comunque una copia online, consultabile e completa di screenshots all'indirizzo

Come nota tecnica, l'export del blog e' stato eseguito sfruttando l'opzione presente in Wordpress ed ha consentito in pochi minuti di esportare piu' di 1200 post da Blogger a Wordpress, commenti compresi.

Edgar

Inclusione pagine nascoste su siti .IT (agg.29 gen)

Ancora due nuovi layout di pagine incluse all'interno di siti IT legittimi.
ed anche

In entrambi i casi e' presente uno script java offuscato simile a quello visto nei precedenti casi di pagine incluse in maniera nascosta.

Per quanto si riferisce invece alla situazione dei siti IT hostati su servers UK, continua l'aggiornamento di nuove pagine simili a blog, sempre sui siti gia' colpiti a dicembre, come viene evidenziato da questa attuale ricerca in rete.

(notare il time riferito all'indicizzazione delle pagine incluse da parte del motore di ricerca)

Edgar

giovedì 28 gennaio 2010

Aggiornamento situazione sito compromesso Istituto Luce .IT (luce.it)

AVVISO ! Ricordo, come sempre, che anche se alcuni links sono in chiaro, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc...

Sempre presente lo script offuscato malevolo sulla home dell'istuto Luce

Al momento mente McAfee Site Advisor marca come senza problemi il sito

Norton Safe Web evidenzia il pericolo forse anche per il fatto di aver sottoposto l'altro ieri il sito luce.it all''attenzione' di Safe Web, che genera il seguente report

A parte il fatto di aver 'tentato' di avvisare via mail chi gestisce il sito (senza apparenti risultati) ancora una volta si evidenza come, in generale, i servizi web che notificano la pericolosita' di siti in rete, attraverso una scansione automatica degli stessi, lasciano alquanto a desiderare.

In questo caso McAfee Site Advisor, ha probabilmente effettuato una analisi del sito, da tempo, e quindi risulta completamente sconosciuta l'inclusione di javascript pericoloso all'interno di luce.it.

Per avere una certa validita' bisognerebbe che servizi come Site Advisor o Safe Web, effettuassero la scansione dei siti che hanno indicizzato, ad intervalli di tempo molto ridotti ed in maniera costante, per garantire un minimo di attendibilita' di quanto propongono, cosa che pero' e praticamente irrealizzabile, vista l'enorme quantita' di siti compromessi ogni giorno.


Edgar

Siti compromessi con inclusione javascript su servers Aruba (aggiornamento ore 8 am Thai time , 2 am Ita time) Aggiornamento url linkata da javascript

AVVISO ! Ricordo, come sempre, che anche se alcuni links sono in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc...

Dopo qualche ora il link presente sul sito corriereuniv.it, che e' generato tramite lo script malevolo presente, e' cambiato ripetto a quello di questa mattina

in accordo a quanto proposto dall'pplicazione su http://www.unmaskparasites.com/security-tools/torpig-domain-generator.html

Edgar

Non piu' certificato ma... sempre online .Sito di phishing PosteIT


Ricorderete la mail di cui ho scritto in questo post e che puntava a sito PosteIT utilizzando, cosa non molto comune, una connessione via HTTPS, ossia HTTP su protocollo sicuro SSL.

A distanza di piu' di due settimane, il dominio di phishing, non e' piu' certificato , ma .......... comunque sempre online.


Sempre anche la medesima caratteristica di essere attivo solo su IP italiani e non ad esempio thai....
Il sito di phishing e' migrato su altro IP e precisamente, al momento, su


mentre questa una analisi piu' dettagliata dell'IP di provenienza.


Da notare i due NS con IP di server giapponese


Edgar

Sempre attive le pagine fake di Microsoft Windows Live

Le pagine di Microsoft Live Spaces gia' viste piu' volte descritte in diversi post, continuano a proporre links di vario genere, che paiono sempre ben aggiornati.

Ecco un attuale report URIBL che indica come non si fermi la creazione di falsi account Live Space solo alla scopo di proporre links di tutti i tipi ma sempre a siti dubbi o pericolosi

Tra l'altro Microsoft sembra avere piu'' di una difficolta a bonificare e/o bloccare questo genere di spam, se consideriamo che queste sono due pagine presenti dal 23 e 24 gennaio 2010

ed anche



Collegato a questo, c'e' l'invio di mails di spam, come questa ricevuta ieri

che sfrutta proprio il supporto di Windows Live per linkare, ad esempi in questo caso, a sito di dating russo

Edgar

Siti compromessi con inclusione javascript su servers Aruba (aggiornamento ore 8 am Thai time , 2 am Ita time) Alcuni dettagli.

Questo un aggiornamento che presenta alcuni dei siti compromessi , come risultano da una scansione Webscanner, eseguita questa mattina ora Thai (le 2 am del 28 gennaio in Italia)

Rispetto ad ieri sembra quasi del tutto bonificata la presenza dello script java offuscato, visto che ad una scansione degli indirizzi precedentemente colpiti abbiamo solo tre positivi.

Quello che pare particolare e' che uno dei tre siti presenti (corriereuniv.it) , ieri non compariva nella scansione, come positivo , ma solo nelle liste di siti infetti pubblicate in rete, in precedenza.

Vediamo qualche dettaglio in piu' utilizzando proprio il sito corriereuniv.it che parrebbe essere il piu recente attaccato.
Questa la homepage del sito corriereuniv.it con in evidenza la connessione a Twitter generata dallo script

che se abilitata , a sua volta, attiva la generazione del nome di sito con contenuti pericolosi (come descritto qui)


e che coincide perfettamente con l'indirizzo web generato da questa applicazione online (Torpig Domain Generator) che utilizza l''algoritmo estratto dallo script java malevolo presente sui siti colpiti.

Come, gia scritto in passato, Torpig Botnet usa le API di Twitter per generare nuovi nomi di indirizzi web in maniera pseudo-casuale sui quali vengono reindirizzati i visitatori dei siti colpiti. I nomi di dominio attivi cambiano sino a due volte al giorno.

Il tools online genera anche i nomi di dominio che verranno attivati ed utilizzati nelle prossime 24 ore. (active soon)

Un whois dell'indirizzo web generato punta a

Per concludere, l'analisi online presente su http://www.UnmaskParasites.com/security-report/?page=corriereuniv.it evidenzia come il sito IT, sia stato sviluppato in WordPress 2.3.3 - Warning: Old version of WordPress. It may be vulnerable. Please upgrade.


Edgar

mercoledì 27 gennaio 2010

Siti compromessi con inclusione javascript su servers Aruba (aggiornamento ore 8 am Thai time , 2 am Ita time)

Questo un aggiornamento che presenta alcuni dei siti compromessi , come risultano da una scansione Webscanner, eseguita questa mattina ora Thai (le 2 am del 27 gennaio in Italia)

Ecco la lista completa generata da Webscanner (diversi IP)

www.abodybuilding.com
www.actarus.it
www.agdesktop.com
www.agriturismofrattavecchia.it
www.amiciinsoliti.it
www.a-newyork.com
www.archeoempoli.it
www.arkearcheologiasperimentale.it
www.arribalafoto.com
www.asciitable.it
www.aulamanga.it
www.avellinomagazine.it
www.batsweb.org
www.beachsolaire.it
www.bleachrevolution.net
www.broderie.it
www.brucespringsteen.it
www.buffyitalianworld.com
www.bugatticlubitalia.it
www.capware.it
www.ceptive.it
www.clubclio.com
www.codda.org
www.compagniadragonero.it
www.confortino.com
www.continuitas.com
www.csame.it
www.cucinaconme.it
www.daisoft.it
www.damagedsoul.net
www.dragonballworld.it
www.encirobot.com
www.forzalghero.com
www.galleriaborghese.it
www.gifforyou.com
www.ginevra2000.it
www.icarli.com
www.iconbulk.com
www.ildizionario.eu
www.indicededibujos.com
www.indicedejuegos.com
www.indicedepaginas.com
www.interelectron.com
www.latrabajadera.com
www.linguafrancese.it
www.marcoardigo.it
www.mattbates.net
www.metalzone.biz
www.mondobirra.org
www.monza-news.com
www.msnmessenger7es.com
www.nuestrocine.com
www.oasidelpensiero.it
www.ordinarydream.com
www.pescainmare.com
www.portalnet.org
www.primitaly.it
www.ristoranteilcacciatore.com
www.rosannalambertucci.com
www.scricciolo.com
www.scultura-italiana.com
www.storiain.net
www.verdealloggio.it


Naturalmente possono esserci altri siti con inclusione di javascript che non sono presenti in lista a causa del reverse IP non accurato.

Lo script presente risulata leggermente diverso per alcuni siti che probabilmente sono stati compromessi non in data recente (vedi ad es www.archeoempoli.it)

Edgar

martedì 26 gennaio 2010

Siti compromessi con script offuscato su servers Aruba (aggiornamento 26/01 )

In risposta ad un quesito posto da Aniello :

Aruba ci ha segnalato che tutti i siti sono stati bonificati sul loro server,puoi verificare se realmente è cosi ? Grazie

attualmente (le ore 23,43 PM Thai (17,43 pm Ita) ad esempio sull'IP 62.149.130.54

una scansione Webscanner rileva ancora 2 siti che presentano incluso il codice javascript offuscato e precisamente (questo relativamente solo al singolo IP)

Una scansione del range 62.149.130.1. .... 54 vedeva, sino a qualche ora fa', questi siti ancora con javascript offuscato pericoloso.


Edgar