sabato 30 ottobre 2010

Ancora falsi AV da links su siti IT compromessi. Ancora ThinkPoint come variante del molto diffuso Fake Microsoft Security Essentials (30 ottobre)

AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....).

Questa una serie di links attualmente presenti come messaggi di Instant Messenger in una pagina di sito IT

I links puntano a sito compromesso che visualizza un noto layout di accesso a sito con contenuti porno

con scelte che puntano, comunque tutte e due (enter e exit) al consueto flash player installer su sito di falsi filmati

attualmente con whois

Ad una analisi VT il file non e' molto riconosciuto dai reali softwares AV

Eseguiamo quindi in Vbox il file fake "flash_player_installer.exe" ottenendo

da cui

che ci mostra chiaramente che siamo nuovamente in presenza del fake AV ThinkPoint come variante del ben noto Fake Microsoft Security Essentials.

Una analisi della connessione stabilita al momento dell'esecuzione del falso AV mostra


con IP


Risulta evidente come per questo particolare software fake AV ci sia una campagna di diffusione al momento ancora molto attiva visto che negli ultimi giorni il malware e' risultato presente in molte della analisi di siti compromessi che compaiono anche su questo blog.
Inoltre come visto in questo post, parrebbe esserci anche un tentativo di proporre il malware attraverso un sistema di download ed esecuzione automatica del fake AV senza che ci sia interazione con l'utente come succede invece normalmente in questi casi e che consiste in: pagina in browser di falso scanner ---> proposta di download dell'eseguibile ---> eventuale 'run' del file da parte dell'utente internet.


Ecco invece un altro sito IT attualmente compromesso che propone un falso player

con link tramite redirect

a falso scanner online AV sempre con il medesimo layout visto ormai da parecchio tempo, e che propone un eseguibile

con riconoscimento basso

Questa volta un whois mostra una provenienza del malware da paese gia' visto ieri nel caso del fake Microsoft Security Essential .

Eseguendo il file in Vbox

otteniamo l'installazione sul nostro PC di un altro ben noto fake Av molto diffuso in rete.

Edgar

venerdì 29 ottobre 2010

Nuovo SEO poisoning con contenuti malware pericolosi (exploits) ed un caso particolare di Microsoft Security Essential che si esegue in automatico

Attenzione. Questa volta la maggior parte delle pagine linkate presenta exploits o fake av che parrebbe caricarsi ed andare in 'run' in maniera automatica senza interventi dell'utente.
Evitate quindi di seguire i links presenti negli screenshots se non avete preso tutte le precauzioni del caso (sandboxie, noscript ecc....)

Nuovamente una azione di Seo poisoning che colpisce anche siti IT rilevabile da una ricerca i rete

Ci troviamo pero' di fronte oggi ad una serie di links che in buona parte puntano non a fakes Av ma soprattutto ad exploits di vario genere e persino ad una pagina che parrebbe capace di caricare ed eseguire sul PC il noto fake Microsoft Security Essential senza nessun intervento da parte dell'utente.

Raramente mi e' capitato di vedere un simile assortimento di malware concentrato tutto sui medesimi links di Seo poisoning.

Per quanto si riferisce al fake antivirus Microsoft Security Essential si tratta di un comportamento atipico in quanto, almeno dai test effettuati oggi in Windows XP e browser Firefox, se java e' abilitato nel browser, non si propone un download del file ma il caricamento e l'esecuzione avvengono in maniera del tutto automatica, come vedremo poi in dettaglio.

Questa la struttura di uno dei siti esaminati che e' sempre la stessa anche per altri siti compromessi

da cui

ed in particolare esaminando uno dei tanti folder presenti


ed anche

La pagina inclusa nel sito compromesso propone un elenco di links presentati in modo da ricordare i risultati di una ricerca in rete con le relative thumbnails
In realta' anche se tutti i 'risultati' della ricerca sembrano differenti (vedi anche un risultato che si propone come antivirus trendmicro) si tratta dei medesimi links a sito di redirect che redirige poi su vari siti con diverso IP e contenuti malware di ogni genere.


Come premessa all'analisi di alcuni links ricordo che:

Viene fatto uso di referer relativamente alla provenienza dei links di SEO e in alcuni casi anche probabilmente di user-agent

Si nota in molti dei casi esaminati una geo-localizzazione dell'IP del visitatore (es. con IP thai molto spesso si viene solamente rediretti sulla home di Google)

La maggior parte delle pagine linkate risulta praticamente non pericolosa ad una analisi del codice con VT od altri siti di scansione online, compresa anche la pagina che tenta di eseguire in automatico il fake Microsoft Security Essential

Un whois dei siti utilizzati sia per le pagine ma anche per ospitare eventuali eseguibili distribuiti, mostra una grande varieta' di IP coinvolti.

Vediamo ora solo alcune delle tante pagine linkate tramite redirect che propongono una notevole 'raccolta' di malware di tutti i generi:


Falso software AV

Niente di particolare per questa pagina

che tramite fake scanner online

con whois

propone un file

e che VT vede come


Pagina con exploit n.1

Si tratta di pagina che linka tramite iframe

ad exploit che VT vede come

dove si nota che la maggior parte dei pochi software che rilevano il malware sembrerebbero catalogarlo come codice che sfrutta una vulnerabilita' di Windows Help Center

Attraverso una analisi Wepawet abbiamo la conferma della natura pericolosa del codice linkato dalla pagina


Pagina con exploit n.2

Altra pagina con codice malevolo


e whois

che analizzata con Wepawet vede

ed in dettaglio



Pagina con fake av Microsoft Security Essential eseguito in maniera automatica

Premetto che ho testato solo sul browser Firefox ed S.O. Xp che uso di default in Vbox e quindi quanto segue e' da ritenersi valido per la configurazione adottata.

Si tratta di pagina che vediamo nello screenshot


con whois


e che,se attiviamo l'esecuzione del codice java attraverso l'opzione di Noscript, parrebbe caricare in maniera automatica il ben noto Microsoft Security Essential ed eseguirlo

Qui di seguito vedete un tentativo di catturare lo screen relativamente a quanto succede al momento della abilitazione dei codici java sulla pagina visualizzata da browser Firefox (versione 3.5.11) in XP (sp2)



Come si nota dopo un breve intervallo di tempo il browser va in crash e compare la ben nota finestra del fake allerta malware di Microsoft Security Essential senza che ci sia nessuna interazione da parte dell'utente.

Visto che l'esecuzione del browser e' in Sandboxie possiamo notare che dai task attivi abbiamo la conferma del malware in esecuzione e del blocco consueto dei browsers.

Parrebbe quindi che, almeno in alcuni casi (non ho provato su versioni piu' recenti di SO e browser) , chi vuole distribuire il noto Microsoft Security Essential abbia trovato un modo di diffusione sicuramente piu' valido in quanto potrebbe succedere che con un solo click ci si ritrovi il software fake AV installato ed in esecuzione sul PC


In definitiva questa azione di SEO poisoning appare pericolosa in quanto la maggior parte dei link consiste in exploits o comunque nel caso di Microsoft Security Essential rivela la possibilita' in alcune situazioni di eseguire il malware fake AV senza che l'utente abbia autorizzato il download e l'esecuzione del fake antivirus.

Edgar

giovedì 28 ottobre 2010

Siti compromessi IT (agg. 28 ottobre)

Una analisi di reverse IP su

rivela un grande numero di siti compromessi (89 su 97 sources esaminati) che presentano inclusa la seguente pagina di hacking

Questo un report Webscanner che evidenzia l'elevato numero di siti colpiti



Edgar

mercoledì 27 ottobre 2010

Redirect aggiornato - Phishing Banca Monte Parma (27 ottobre)

Come accade normalmente in molti casi di phishing, questa mattina, (ora thai) il codice di redirect relativo alla mail di phishing Banca Monte Parma risulta aggiornato con nuovo link a differente percorso sul sito di phishing Banca Monte Parma con whois USA visto ieri.

Questa la pagina del file manager, sul sito israeliano utilizzato per gestire il redirect nel giorno di ieri

e questo lo screenshot attuale con il codice di redirect che presenta data aggiornata.

Esaminando nel dettaglio il codice odierno

vediamo infatti che il percorso del sito clone Banca Monte Parma ora e' cambiato, da quello usato ieri

nel tentativo evidente di evitare che il sito di phishing venga bloccato da eventuali inserimenti in blacklist.

Chiaramente la sicurezza totale su un accesso tramite password, anche se generata al momento di loggarsi, da un dispositivo hardware, non e' mai completa.

Anche nel caso di generatori di token per accedere al conto potrebbero essere messe in atto delle procedure per riuscire comunque ad acquisire la password generata

In un precedente post scrivevoal proposito:

Spesso vengono consegnati ai clienti delle banche dei piccoli 'dispositivi' hardware con display LCD che genera il codice di accesso da usare per il login (di solito al momento dell'esecuzione di transazioni online)(a volte anche come hardware USB)

C'e' anche da ricordare che l'uso di password create attraverso questi generatori di codici, molto diffusi per aumentare la sicurezza del login ed evitare il pericolo del phishing, potrebbe non essere sufficiente se il dispositivo utilizzato e' del tipo event-based (la password viene generata al momento e scade dopo il login – in pratica il codice generato vale solo per un singolo login dopodiche' bisogna generarne uno nuovo)
In questo caso il phisher potrebbe acquisire la password di accesso ed il codice dispositivo e ad esempio reindirizzare su una pagina creata appositamente per far apparire il sito della banca OFFline, per avere tutto 'il tempo' di accedere al conto online.

Anche con i dispositivi time-based non c'e' comunque da escludere che un sistema di phishing automatizzato possa accedere al conto bancario ed anche se ad esempio la nuova password viene generata e rimpiazza la precedente in maniera automatica dopo un minuto ....

Questo e' quanto apparso al riguardo su http://www.pcauthority.com.au

..... un codice a sei cifre di accesso ogni 30 secondi non e' completamente sicuro scrive Stephen Howes, CEO di GrIDsure , un token acquisito da un sito di phishing costituisce una opportunita' per accedere al conto.......
"Un sistema automatizzato ha solo bisogno di millisecondi per fare questo, e cosi' un token che rimane attivo per un minuto da' al truffatore tempo in abbondanza per condurre il suo attacco..............

Si tratta comunque di sistemi, specialmente per quello time-based , che dovrebbero ridurre le possibilita' di accedere in maniera fraudolenta al conto online in quanto i margini di tempo utili al phisher per loggarsi sono molto ridotti e richiedono tecniche abbastanza complesse per effettuare questo phishing in real-time............. “

Edgar

Commenti reali o reale SPAM ? (27 ottobre)

Ricevo alcuni commenti ad un recente post che trattava di falso AV e che hanno tutta l'aria di essere solamente SPAM pubblicitario.

Ecco 2 dei commenti ricevuti

Come vedete il testo abbastanza anonimo pubblicizza un concorso attualmente in atto da parte di una nota casa produttrice di software antivirus.

I testi dei commenti hanno inoltre scarsa attinenza con quanto pubblicato nello specifico post che tratta di fake AV.

La cosa interessante e' che cercando in rete si trova pubblicato su un sito it, sempre nella giornata di ieri , un identico commento

che tra l'altro risulta anonimo come autore.

Il testo e' esattamente quello presente in uno dei commenti al mio post come se provenisse da un copia e incolla.
Notate anche la perplessita' della risposta al commento da parte di un altro utente che sembra chiedersi cosa c'entri l'info al riguardo del concorso, con quanto trattato sull'articolo pubblicato.

Ad aumentare il dubbio che sia solo spam c'e' anche il fatto che gli autori dei commenti al mio post risultano con profili Blogger non visualizzabili o comunque senza nessuna informazione.

Tutto questo fa pensare che si tratti solamente di un semplice tentativo di spam pubblicitario.

Ricercando in rete poi si trovano anche commenti simili su altri blog e, guarda caso , tutti in data 26 ottobre.

In ogni caso, anche se chi ha postato fosse un reale lettore del blog, trattandosi solo di pubblicita' i commenti ricevuti non saranno pubblicati e poi ne hanno forse gia' avuta troppa da questo post :)

Edgar

martedì 26 ottobre 2010

Phishing Banca Monte Parma (26 ottobre)

Ricevuta ancora una mail di phishing ai danni di Banca Monte Parma

Si tratta di un messaggio molto breve che presenta un link a sito di redirect con whois


e che utilizzando un file manager probabilmente mal configurato e senza quindi l'uso di accesso allo stesso attraverso login, permette a chiunque di utilizzare la stessa piattaforma (Easy content file manager) per uploadare sul sito un semplice codice di redirect.

Questo un particolare del file di redirect incluso come si vede dal file manager


e che e' costituito da questo semplice codice

che punta a sito appositamente creato su server USA dove risiede il clone della Banca Monte Parma.


Interessante notare che una analisi degli headers della mail di phishing ricevuta

evidenzia la presenza di un Ip segnalato da Spamhaus come provenire da, interpreto dal testo in inglese

'….. probabile macchina che ospita trojan, utilizzato dai criminali come proxy anonimizzante per iniettare spam di phishing in servers SMTP …..... Sulla stessa macchina e' in funzione anche un server SMTP, ma lo spam e unicamente gestito attraverso il software trojan e non passa per il server SMTP presente.......'

Da notare che Spamhaus mostra anche nello stesso report un messaggio mail di phishing relativo sempre ad altra Banca Italiana a cui faceva riferimento l'Ip analizzato e presente nella black list, e che, tra l'altro, e' un altro istituto di credito parmense

Edgar