giovedì 31 marzo 2011

Phishing Visa-Master Card (31 marzo)

Ancora una mail di phishing Visa-Master Card

con layout e messaggio uguali a quella ricevuta ieri

Anche in questo caso appare evidente sul sito di redirect l'uso della piattaforma di e-commerce Zen Cart

Il redirect

punta a sito compromesso con whois

su cui e' nuovamente presente Zen Cart

Questa la struttura del clone Visa – Master Card ospitata su folder nascosto (notare date attuali)


Una volta acquisite le credenziali attraverso il falso form proposto dalla pagina di phisihng (layout ampiamente visto in passato) il codice php presente redirige sul reale sito Visa .IT

Edgar

Phishing Cariparma - Credit Agricole (31 marzo)

Cariparma -Credit Agricole e' sicuramente una delle banche piu' colpite negli ultimi tempi da azioni di phishing di varia provenienza.

Questa la mail ricevuta oggi

che presenta la particolarita' di avere al top del messaggio un banner-logo con l'indicazione della possibilita' di chiudere la finestra mail, ma che in realta' e' solo un ulteriore tentativo di far cliccare il link che punta al clone Cariparma

Il sito che ospita il falso login e' linkato direttamente senza l'ausilio di codici di redirect e presenta whois tedesco

Ancora una volta si nota sullo stesso, l'utilizzo di una piattaforma OsCommerce che ha quasi sicuramente permesso l'upload di quanto occorre alla gestione del phishing

Una analisi del codice php che tramite il form di login acquisisce i dati catturati,

mostra mail di invio delle credenziali eventualmente sottratte ad indirizzo su dominio fastwebmail

per poi venire rediretti sul reale sito della banca.

Edgar

Phishing Banca Valsabbina (30 -31 marzo)

Ricevuta nella serata di ieri una mail di phishing ai danni di Banca Valsabbina

che appare identica nel testo alla precedente mail di phishing Carige ricevuta il 29/3 e descritta in questo post

Si tratta molto probabilmente dei medesimi phishers o, al limite, del medesimo fornitore del kit di phishing considerato che in ambedue i casi, le analogie non si limitano ai messaggi in mail ma sono molto evidenti anche nella codifica del codice di redirect.

Viene infatti utilizzato per il redirect un codice debolmente offuscato che vediamo in dettaglio

e che confrontato con quello del phishing Carige del 29/3

mostra stessa struttura tranne che per le urls al clone della banca.

Il redirect e' ospitato su sito in cui risulta presente la piattaforma di commercio elettronico Zen Cart (online store management system) all'interno del folder relativo ad FCKEditor (open source WYSIWYG text editor) mentre il clone di phishing e' ospitato su sito sviluppato in Joomla

Questa la pagina clone di login Banca Valsabbina a cui segue la solita richiesta dei pin codes per poi essere rediretti sul reale sito della banca


Edgar

mercoledì 30 marzo 2011

Phishing Visa-MasterCard (30 marzo)

Ricevuta mail di phishing ai danni di Visa-MasterCard

che utilizza un servizio di Web Redirection con possibilita' di 'free domain name'

Come si nota dallo screenshot sono presenti diverse alternative sui nomi di dominio disponibili , tra cui quello scelto per il redirect al phishing.

Questa una analisi Fidller del percorso che punta al sito clone di Visa-MasterCard

mentre questa la struttura del phishing con date non recenti


e con whois


Come si nota da Fiddler alcune immagini jpg relative al sito clone sono hostate su diverso server.

Edgar

martedì 29 marzo 2011

Phishing Gruppo Carige (29 marzo)

Ricevuta mail di phishing ai danni di Gruppo CARIGE

con oggetto del messaggio (in un italiano poco corretto) che comunque fa anche riferimento ad ID Bancoposta

Come succede spesso in casi di phishing viene sfruttato un redirect attraverso sito compromesso sul quale una analisi dei contenuti mostra on-line questa pagina di gestione PBX


Il codice di redirect incluso e' debolmente offuscato

e punta a sito con whois

Sul sito e' attiva una piattaforma di e-commerce di cui vediamo la pagina di login

Questa invece al pagina clone CARIGE


Edgar

lunedì 28 marzo 2011

Commenti al post 'Siti di P.A. IT appartenenti a servizi relativi a capoluogo di regione (e comuni ad esso collegati) colpiti da azione di defacement'

Ho ricevuto alcuni commenti al post citato nel titolo.

Uno dei commenti, questa la mail di notifica

e' di un lettore che evidenzia come non ci siano riferimenti ai siti colpiti (urls).
Il fatto e' comunque voluto in quanto vorrei evitare di diffondere ulteriormente links che tutto sommato parrebbero al momento essere legati a possibili vulnerabilita' presenti e non ancora risolte.

D'altronde, non avendo il sottoscritto la ' 'sfera di cristallo' , e come sottolineo nel Disclaimer del blog

“............... Tutte le informazioni relative agli attacchi informatici (defacements, hacking ecc.... ) segnalati da questo blog sono raccolti on-line tramite la consultazione di motori di ricerca (google, yahoo, bing ecc...) oppure ottenuti dalla consultazione di fonti pubbliche in rete (blogs, siti di informazione, news, siti di note case produttrici di software anti-malware, siti che trattano di hacking, sicurezza informatica in rete, ecc...).......”

Si tratta di informazioni presenti in rete accessibili da chiunque attraverso, ad esempio, una ricerca con Google o consultando uno dei siti di liste di hacking.

A riprova di questo cito un altro commento ricevuto sempre ieri , e sempre relativo al medesimo post,

che evidenzia come le urls dei siti colpiti siano facilmente rilevabili su una delle tante pagine ON-line che trattano di azioni di hacking , dove troviamo sia gli indirizzi web che dettagli su chi ha effettuato l'attacco di defacement ai danni dei siti di P.A.

Edgar

domenica 27 marzo 2011

Siti di P.A. IT appartenenti a servizi relativi a capoluogo di regione (e comuni ad esso collegati) colpiti da azione di defacement (27 marzo)

Si tratta di siti IT riferiti a servizi e news relativi a noto capoluogo di regione

ma anche comunali

tutti rilevati su

Questo il source presente con un dettaglio dell'header che dimostra la probabile data relativa all'azione di defacement.

Ecco invece un report

che dimostra come una buona parte dei siti sull'IP esaminato (23 su 31 rilevati da un reverse IP) abbiano la homepage sostituita dalla pagina di hacking.

Edgar

sabato 26 marzo 2011

Terremoto, tsunami e distribuzione malware (26 marzo)

Come viene riportato in rete da siti che si occupano di distribuzioni malware, l'evento del disastroso terremoto e maremoto che ha colpito il Giappone, e' sempre molto utilizzato, allo scopo di proporre files eseguibili con contenuti pericolosi.

E' il caso di una attuale pagina web ospitata su sito probabilmente compromesso, con whois

e che include questo 'aggiornamento' della situazione giapponese

Si puo' notare come la data presente voglia far pensare a pagina recente cosi' come la notizia evidenzi un 'nuovo' tsunami.

In realta' il layout della pagina, che pare legato ad invio mail di phishing ai danni di globo.com, come viene anche riportato su Phishtank

propone una immagine jpg che simula un player video e che, se cliccata, punta ad eseguibile (sviluppato in Autoit), visto da VT come.

ed in dettaglio

Sia il link al falso player (immagine jpg hostata su sito .br) che il testo ed altri riferimenti presenti anche al momento dell'esecuzione del malware (links a domini .br), fanno pensare a phishing malevolo rivolto ad utenza internet brasiliana.

Edgar

giovedì 24 marzo 2011

Phishing CartaSi (24 marzo)

Sempre ben presente in rete il phishing CartaSI

Ecco poche righe per segnalare l'ennesima mail di phishing, ai danni appunto, di CartaSi

Il link presente in mail punta a

dove e' presente questa pagina di login Outlook Web Access


Lo stesso sito appare listato almeno altre due volte su Phishtank per azione ai danni di Paypal in lingua italiana

e PosteIT

Il codice di redirect presente

punta a sito con whois

sviluppato in Joomla


All'interno del sito (folder plugin) troviamo questo kit di phishing e relativo folder che ospita il clone di CartaSi (data non recente)

Edgar