sabato 31 dicembre 2011

Phishing ai danni di banche IT a diffusione prevalentemente regionale (31 dicembre)

Anche per fine anno troviamo on-line un clone di phishing ai danni di banca IT e sempre, molto probabilmente, gestito dagli stessi personaggi che da tempo attaccano banche IT a diffusione prevalentemente regionale.

Si tratta di phisihng Banca Reale di cui vediamo lo screenshot del clone

Questo il testo della mail

con link che punta al consueto redirect gestito dall'immancabile (nel caso di questi attacchi di phishing a banche IT) Innova Studio Asset Manager

su sito vietnamita

Il redirect punta a clone Banca Reale

su sito

Anche in questo caso Innova Studio Asset Manager che ha permesso l'upload sia dei codici del clone che alcune shells

Da notare come anche i codici php legati al form di phishing siano stati offuscati nel nome ridenominandoli in maniera leggermente diversa dal solito xxxx.php.pgif

Ecco la struttura del folder che ospita il clone


i cui codici php presentano indirizzo mail di invio credenziali eventualmente sottratte, leggermente variato rispetto al noto indirizzo mail di R-team (vedi precedenti posts)

Edgar

venerdì 30 dicembre 2011

La capitale degli hacker? E' in Romania. Notizia ANSA (30 dicembre)

Ansa.it pubblica un articolo che fa' riferimento a quello comparso sul noto quotidiano francese Le Monde il 29/12. “Les pirates roumains d'"Hackerville" tiennent tete aux polices du monde entier "

A parte alcune note 'folcloristiche' su "Hackerville" l'articolo evidenzia una realta' ben nota.

Che il phishing sia, in moltissimi casi, di provenienza est europea ed in particolare romena e' indubbiamente vero, se guardiamo i numerosi casi, anche rilevati su questo blog, di indirizzi internet e siti clone con IP romeni coinvolti in azioni ai danni di banche IT.

Qui il link alla notizia Ansa mentre qui il link all'articolo sul sito di Le Monde.

Edgar

Linkedin e fake mails con link a pharmacy. Interessante uso di Wayback Machine (30 dicembre)

Ricevo una segnalazione da parte di un lettore del blog (attraverso il db segnalazioni) di numerose mails di spam ricevute, che simulano una mail di notifica messaggio personale, da parte di Linkedin (LinkedIn e' un servizio di social networking in rete impiegato principalmente per la rete professionale.(da Wikipedia) )

Anche da parte del sottoscritto sono state ricevute alcune mails di cui vediamo un dettaglio

e che presentano layout che vuole simulare una reale comunicazione Linkedin.

Questo un dettaglio dell'IP dell'header in mail

I link puntano a redirects ospitati su siti compromessi

che a loro volta redirigono a sito attualmente Off-line ma che parrebbe essere comunque legato a prodotti di pharmacy

Da notare come i siti che hostano il redirect siano numerosi.

Tra questi ne troviamo uno che merita una analisi piu' approfondita:

Attualmente la homepage risulta assente, ma ad una analisi piu' accurata si scopre che e' comunque attivo un programma di statistiche che mostrano come il sito sia stato ampiamente utilizzato per hostare link a pharmacy od altri siti di dubbi affidabilita' anche ad inizio anno

Il log degli accessi dimostra, dopo un periodo di non utilizzo di qualche mese, una ripresa del traffico a fine 2011, dovuta quasi certamente anche al redirect a pharmacy tramite link in mail.

Visto che cercando in Google si trovano solo info al riguardo delle pagine incluse di pharmacy ed anche di noto allerta Google sulla possibile pericolosita' del sito “This site may harm your computer" vediamo l'uso di un interessante servizio on-line di “........ ritorno al passato ….....” riguardo alla storia internet di vecchi siti tra i quali molti ormai non piu' presenti in rete.

Si tratta della Wayback Machine che mette a disposizione un enorme archivio pagine web e siti (oltre 150 miliardi di pagine web archiviate dal 1996 a pochi mesi fa ) che erano online negli anni scorsi e molti dei quali ormai 'scomparsi'.

Troviamo cosi che il sito attualmente senza homepage, nel 2004 (marzo) veniva visitato per al prima volta da Wayback Machine

e presentava

e sempre a fine 2004

mente l'ultima homepage legittima pare risalire a fine 2009

Da quel momento le successive visite al sito da parte di 'Wayback Machine' mostrano la homepage inesistente.

Si tratta in pratica di una azienda che probabilmente a cessato l'attivita' o comunque di gestire il dominio lasciandolo pero on-line ed attivo, cosa che ne ha permesso l'utilizzo per hosting di codici di redirect , pagine di pharmacy ecc...

E' una pratica molto diffusa in rete che vede siti, forum.... ecc... che dal momento che sono 'abbandonati” dai creatori o da chi dovrebbe gestirli diventano facile host di malware di vario tipo...permettendo a phishers, spammer, ecc di avere un servizio di hosting free e senza problemi di 'bonifica' dei contenuti.

Edgar

mercoledì 28 dicembre 2011

Phishing ai danni di banche IT a diffusione prevalentemente regionale. Banca Farnese (28 dicembre)

Dopo la pausa natalizia pare riprendere attivamente il phishing ai danni di banche IT a diffusione prevalentemente regionale.

Questo il clone Banca Farnese

da cui

banca che non risulta colpita in precedenti azioni di phishing rilevabili dal DB del blog

Si tratta sempre di redirect a clone tramite noto Assetmanager Innova Studio

su sito greco compromesso, o meglio, che mette online interfaccia di gestione contenuti liberamente accessibile da remoto.

Il clone e' invece ospitato su sito azero

con asset manager che ha permesso di uploadare tutto quello che serve per il phishing attuale

e

I codici php mostrano la solita mail di invio credenziali al phisher attribuibile sempre ad R-team

Edgar

Phishing PostePay (28 dicembre)

Numerose mails di phishing ai danni di PostePay ricevute negli ultimi giorni

con layout sempre uguale (bonus natalizio)

ma con quelle ricevute in data meno recente che hanno il 'logo natalizio' non piu' visualizzabile

come da source

Le piu' recenti (data di ieri) hanno invece il source che e' stato modificato, per ovviare all'inconveniente, e linkano l'immagine gif direttamente dal sito PostePay

Il form presente come allegato in tutte le mail ricevute, presenta layout noto

e link a codice php hostato su


Si tratta di sito USA compromesso quasi sicuramente attraverso vulnerabilita' della chat Shoutbox presente

Attraverso detta vulnerabilita' e' stato possibile uploadare shell remota e codice di phishing PHP

Il Codice php effettua oltre che all'invio al phisher via mail delle credenziali sottratte anche la scrittura su file delle stesse, come si nota dal source

Ancora quindi di un caso di phishing PosteIt che vede, come gia' ampiamente descritto , il tentativo di sottrarre credenziali di carta di credito, tendenza che probabilmente, andra' sempre di piu' affermandosi in futuro negli attacchi di phishing ai danni di banche IT e non.

Edgar

Phishing UniCredit (28 dicembre)

Ancora attivi in rete diversi phishing UniCredit come ad esempio questo su dominio BR

che mostra i soliti accurati layout

anche se, questa volta, con qualche errore


Interessante anche questo phishing HSBC / UniCredit

ospitato su dominio creato di recente

ed hostato su server USA.

Da notare che il nome di dominio creato fa esplicito riferimento alla nota banca inglese HSBC (e' il primo istituto di credito europeo per capitalizzazione con sede a Londra.(fonte Wikipedia))

Si e' addirittura scelto un dominio di primo livello come .CO (Colombia) per creare un indirizzo web ingannevole del tipo xxxHSBC.CO (il reale dominio della banca e' www.hsbc.co.uk )

Con queste premesse non e' stato difficile trovare su questo dominio di phishing alcune pagine fake ai danni di HSBC come:

e

che mostrano un layout accurato e con i link presenti che redirigono sempre alla stessa pagina fake.
Si tratta di phishing attualmente attivo anche se non indicato nella segnalazione di quello UniCredit.

Sullo stesso dominio esiste, come detto, anche un phishing UniCredit che mostra questa pagina di fake login

seguita da form di acquisizione credenziali relative a carta di credito

Da notare, anche in questo caso, la cura posta nei layouts fake anche se pare che non vengano effettuati controlli di forma sui dati immessi, come succedeva nei precedenti phishing UniCredit.

Si tratta ancora una volta di tentativi la cui tendenza, sempre in aumento, e' quella di cercare di sottrarre credenziali di carta di credito piuttosto o non solo di password di login di accesso a conti bancari online.
L'uso di dispositivi hardware di verifica delle password (OTP) per l' accesso a servizi di internet banking, rende infatti sempre meno praticabile per i phishers, attacchi diretti ai conti on-line.

Edgar

lunedì 26 dicembre 2011

“Click here to see the attached photos” Spam da probabile account mail compromesso.(26 dicembre)

Ricevuta una lunga sequenza di mails da parte di un indirizzo mail presente tra quelli della mia lista di contatti

Si tratta di alcune mails che con differente 'oggetto' e che sono inviate su diversi miei account ma tutte dalla medesima persona.

Il testo presente nell'oggetto sembra essere creato apposta per incuriosire chi riceve la mail

'VERY GOOD'
'SEE THIS'
'INCREDIBLE'

e per di piu', essendo il mittente persona nota, le premesse per cadere nel tranello della fake mail ci sono tutte.

Ecco invece alcuni dettagli del contenuto, molto semplice, delle diverse e-mails ricevute

ed anche

e

Si tratta di un semplice link “Click here to see the attached photos “ che se cliccato punta a differenti sub-domini (a seconda della mail) creati qualche giorno fa.

e

Notate come sia presente nel link il nostro indirizzo mail.

che parrebbe essere utilizzato anche per personalizzare la pagina cui si viene linkati

Il redirect presente punta a questa pagina dal background sfocato

utile a creare lo sfondo per questo form di fake login a Windows Live

In pratica si chiede, a fronte del nostro indirizzo mail mail visualizzato in automatico, di loggarsi con la propria password, attuando cosi l'acquisizione dei nostri dati di accesso.
Il fatto che come pagina iniziale venga proprio richiesta la password di login sarebbe un sistema per incrementare da parte degli spammers la lista di ulteriori accounts compromessi da usare in futuro per l'invio delle fake mail.

Il dominio che ospita il fake login e' stato creato il 24 dicembre.

Una volta effettuato il login vengono presentate diverse pagine di concorsi a premi, personalizzate nella lingua del destinatario della mail (vedi screenshot)

e
e

e


Potrebbe quindi trattarsi di uno spam orientato a proporre pagine di dubbia affidabilita', concorsi , ecc... attraverso mail inviate da account compromessi.

Tra l'altro la pagina di login fasullo si riferisce proprio ad account Microsoft Live che e' poi lo stesso usato realmente dalla persona a cui e' stata probabilmente carpita la password di login.

Chiaramente chi venisse a conoscenza di questo problema, relativamente all'invio di mail in automatico da parte del proprio account mail, dovra' tempestivamente cambiare password di accesso al proprio account mail (sperando che nel frattempo non ci abbiano gia' 'pensato gli spammers, cosa che vedrebbe l'account mail non piu' amministrabile) ed anche, per sicurezza, altre password di accesso a servizi online usati, che potrebbero comunque essere state esposte a seguito dell'account colpito.
Inoltre sara' opportuno, effettuare una completa scansione antivirus del PC, al fine di evidenziare eventuali softwares coinvolti nella compromissione dell'account, anche se, come ben sappiamo, non e' detto che il software AV possa rilevare completamente tutte le possibili varianti di malware a cui si e' esposti ogni giorno navigando in rete, proprio per il fatto che la connessione Internet permette attacchi che, in tempo reale, propongono varianti sempre nuove e mutevoli di malware.

Qui trovate un post di fine novembre pubblicato da blog che si e' occupato di un caso simile.

Edgar