venerdì 29 aprile 2011

Aggiornamento phishing Volksbank - Banca Popolare dell'Alto Adige (29 aprile)

Nuovamente cambiati sia il redirect che il dominio che ospita il sito clone Volksbank.

I redirects son ora presenti su sito con whois

e gestiti dalla 'solita' interfaccia Innova Studio Asset Manager, raggiungibile da remoto senza restrizioni

Come altre volte possiamo notare la presenza (evidenziata in verde) di una pagina clone di login' Cariparma e del relativo codice php peraltro non eseguibile e quindi inattivo.

Il sito clone, con layout uguale a quello dell'ultimo phishing Volksbank

(layout semplificato rispetto ad altre volte, quando veniva proposta una copia della homepage della banca), e' ospitato su consueto dominio 'USA e getta' registrato in data odierna

Edgar

Phishing 'Verified by VISA' - Segnalazione 28/4

Segnalazione in data di ieri (tramite il form di notifica phishing e malware linkato sulla homepage del blog)

di tipico phishing ai danni di Visa -Master Card attraverso mail con allegato form.

Il codice php che si occupa dell'invio credenziali eventualmente sottratte e del redirect al reale sito Visa IT, e' ospitato su sito con whois romeno

Questa la struttura del folder contenente il codice php “aggiornato” in data attuale

un file htm di form di phishing Visa-Master Card

ed un folder con files immagine .gif (loghi) tutti abbastanza datati.

Nel folder che ospita i loghi VISA-Master Card, da notare anche un codice htm di pagina 'account sospeso” proveniente probabilmente da precedente azione di phishing.

In pratica il phisher potrebbe aver copiato i contenuti di un vecchio phishing VISA compreso anche la pagina di 'Account Sospeso” per poi 'aggiornare' il solo codice php da utilizzare nel form allegato in mail.

Edgar

giovedì 28 aprile 2011

Siti di Comuni IT compromessi (agg.28 aprile)

Si tratta di un buon numero di siti comunali piemontesi che risultano in parte gia' colpiti il 17 aprile come si legge su questo precedente post.

Attualmente sul medesimo IP:

abbiamo diversi siti con questa pagina inclusa:

Un report mostra che solo alcuni dei siti gia' precedentemente attaccati compaiono anche nell'attuale analisi.

A differenza del 17 aprile quando trattandosi di scritte di hacking sulla home,

il problema era evidente, oggi abbiamo, 'solamente', pagine incluse che non essendo normalmente visibili potrebbero rimanere attive anche per diversi giorni se non per mesi.

In ogni caso si tratta sempre di attacchi che evidenziano vulnerabilita' attualmente presenti, che potrebbero, ad esempio, essere sfruttate come supporto ad azioni di phishing, redirects a phishing, SEO poisoning ed anche distribuzione di links a malware o malware.

Edgar

Siti IT compromessi con azione di 'mass defacement'. (agg.28 aprile)

Piu' della meta' (98) dei 180 siti IT rilevati con un reverse IP su

appaiono aver subito una tipica azione di 'mass defacement'.

Questa la homepage attualmente proposta dalle decine di siti colpiti

mentre, questo, un parziale report

che evidenzia come 98 dei sorgenti di homepage, scaricati ed analizzati, presentino il codice di hacking.

Si tratta di siti che, almeno per alcuni di quelli esaminati, risultano essere sviluppati in Joomla.

Edgar

Siti IT compromessi. (agg.28 aprile)

Una buona parte dei siti IT (44 su 70) rilevati con reverse IP su

appaiono aver subito l'inclusione di codice .htm

Questo un report Webscanner

che evidenzia l'elevato numero di siti interessati.

Edgar

mercoledì 27 aprile 2011

Aggiornamento Volksbank - Banca Popolare dell'Alto Adige. Nuovo dominio e nuovo layout del sito clone (27 aprile ore 22 (thai time))

Come si poteva vedere dalla registrazione del dominio di phishing utilizzato questa mattina (ora thai) era da parecchi giorni che era stato creato

Forse anche per questo ed a una sua possibile presenza in black-list, i phishers hanno cambiato dominio, utilizzandone ora, uno creato oggi, come si vede anche da

La novita' e' che insieme al nuovo dominio abbiamo la comparsa di un differente layout del sito clone rispetto alla homepage utilizzata in precedenza

e sostituita adesso da questo semplice form di login

Da notare anche, al momento della conferma del login, una breve animazione

per dare una maggiore parvenza di 'ufficialita'' al phishing, per passare poi alla consueta pagina fake, di richiesta 'codici di autorizzazione


Questa la struttura del sito clone che mostra data odierna, per tutti i files presenti:


Edgar

Ancora phishing Facebook pericoloso (agg. 27 aprile)

Qualche giorno fa avevamo visto un pericoloso phishing Facebook che proponeva un fake messenger facendo scaricare in realta' un file eseguibile malware ed un pdf fatto passare come manuale dell'applicazione ma in realta' exploit.

Tra l'altro detta pagina e' ancora attiva e continua a proporre il fake messenger Facebook anche se a questo punto la maggior parte dei software AV presenti in Virus Total (36 su 41) riesce a rilevare la minaccia

Questo e' invece un attuale ed attivo fake sito Facebook creato su servizio USA di free hosting

che in sequenza propone ulteriore form per la riattivazione del nostro account Facebook

a cui segue la pagina di conferma della attivazione del nostro account

e redirect al reale login Facebook.

Questa la struttura del sito clone Facebook

che tra l'altro evidenzia un ulteriore pericolo, in quanto abbiamo la presenza ON-line del file in formato testo contenente la lista delle credenziali sottratte a chi fosse caduto nel tranello del falso sito Facebook.

Come si vede, due diverse modalita' di phishing tuttora on-line che mostrano come sia molto alta la presenza di siti clone Facebook dai layout estremamente curati allo scopo sia di acquisire dati personali ma anche a supporto della distribuzione di malware.

Edgar

Ancora phishing ai danni di Volksbank - Banca Popolare dell'Alto Adige (27 aprile)

Nulla di nuovo per le modalita' di distribuzione di un clone ai danni di Banca Popolare dell'Alto Adige che ritorna dopo la 'pausa', attuata anche dai phishers, per le festivita' pasquali.

La mail ricevuta presenta i consueti contenuti ed un layout gia' visto in passato.

Anche gli headers rivelano la medesima origine di mail precedenti

Questa volta viene usato un redirect su sito .IE (irlandese) e con whois

mentre abbiamo nuovamente l'utilizzo di Innova Studio Asset Manager, per gestire l'upload del codice htm di redirect e di cui vediamo la conosciuta interfaccia con un dettaglio del file


Il sito clone della banca a cui si viene rediretti

e' invece ospitato su dominio creato qualche giorno fa

su noto servizio di hosting USA come succede molto spesso in questi phishing che mostrano una modalita' di esecuzione attribuibile, quasi sicuramente, sempre ai medesimi personaggi ormai noti da tempo.

Edgar

venerdì 22 aprile 2011

'Google URL Redirection' e 'mails senza links' come parte di phishing ingannevole ai danni di Cariparma (22 aprile)

Le mails di phishing Cariparma ricevute oggi presentano alcune novita' sia nel link al clone presente nel messaggio, che nella strategia utilizzata per rendere maggiormente ingannevole il phishing, attraverso mail, senza link, ma dal testo che cerca di convincere ad accedere al sito clone della banca attraverso i messaggi ricevuti precedentemente.

Vediamo alcuni dettagli:

La prima novita' e' certamente interessante poiche' dimostra come i phishers si aggiornino sempre su quanto presentr in rete ai fini di rendere i links in mail meno sensibili a blacklisting.

Questa la mail ricevuta

con un dettaglio del link.

E' del 12 aprile 2011 questa info apparsa ad esempio su http://seclists.org e di cui riporto parte del testo:
----------------------------------------------------------------------------------------
From: satyam pujari Date: Fri, 8 Apr 2011 16:41:14 +0530 *Hello List,* *Here's a Google URL Redirection Vulnerability which could be used in phishing attack. A simple way to bypass Google redirect notice.*

*1-Open:*

*http://www.google.com/url?sa=D&q=http://www.0x.t35.com*

*2-Copy Link:* "The previous page is sending you to *http://www.0x.t35.com*"; * http://www.google.com/url?q=http://www.0x.t35.com&ei=r7meTaKlF426vwPe2uCRBQ&sa=X&oi=unauthorizedredirect&ct=targetlink&ust=1302249655383154&usg=AFQjCNG4ATH5al6movivnWoeLQJc1ABtSg

*3-Send to victim: *
(*http://www.0x.t35.com* could be a different (malicious) site hosting an exploit kit/malware which is not blacklisted yet)* * http://www.google.com/url?q=http://www.0x.t35.com&ei=r7meTaKlF426vwPe2uCRBQ&sa=X&oi=unauthorizedredirect&ct=targetlink&ust=1302249655383154&usg=AFQjCNG4ATH5al6movivnWoeLQJc1ABtSg *

In a real attack (phishing) scenario, this one can be used in a "quick targeted" attack as the link (ei/ust/usg params ) "expires" after some time.
If the link expires the attacker follows step 2 again.
--------------------------------------------------------------------------------------------------

Ricapitolando si tratta di una procedura che cerca di bypassare la finestra di avviso Google di redirect quando si utilizza una URL generata da una particolare ricerca (qui vediamo un esempio utilizzando l'URL del blog)

Una volte aperta la finestra di redirect bastera' copiare il link alla voce "the previous page send you to..." . per avere una url che reindirizzera' direttamente al clone, senza presentare la pagina di avviso Google vista sopra.

C'e' pero' da notare, come evidenzia il testo in inglese
In a real attack (phishing) scenario, this one can be used in a "quick targeted" attack as the link (ei/ust/usg params ) "expires" after some time.If the link expires the attacker follows step 2 again.

E cioe' che l'attacco di phishing deve essere eseguito a breve intervallo di tempo da quando si e' generata l'url Google di redirect poiche' il link, cosi generato, termina di funzionare dopo pochi minuti (….. the link (ei/ust/usg params ) "expires" after some time. ….......) e verra' quindi comunque proposta la pagina di avviso.
Dopo questa premessa vediamo il source mail

dove notiamo il link creato con le modalita' viste prima e che se cliccato presenta

in linea con quanto letto al riguardo del breve tempo di validita' del link stesso.(i phishers o non sapevano del time-out sulla validita' del link oppure hanno ritenuto che i messaggi giungessero 'in tempo' per fare si' che il link Google+redirect fosse ancora attivo e senza presentare l'allert.)


In ogni caso si tratta di una dimostrazione di come i phishers si tengano informati sulle ultime novita' anche se c'e' d dire che l'utilizzo di redirect attraverso url Google e' noto da parecchio tempo.
La novita' e stata quella nel trovare un meccanismo in grado di bypassare la finestra di avviso di Google redirect, anche se per un breve intervallo di tempo.


Questa invece una mail sempre legata a phishing Cariparma ma, cosa molto particolare, senza links od allegati:

Si tratta molto probabilmente di un tentativo per rendere piu' credibile l'insistente azione di phishing messa in atto da qualche giorno ai danni di Cariparma, attraverso un testo che sollecita la lettura della o delle mails di phishing ricevute.

Basta vedere infatti come nel testo compaiano frasi del genere

“......... non abbiamo ricevuto alcuna conferma del vostro conto a seguito della segnalazione inviata da noi. …....... ' od ancora “ …...Si prega di ricerca con attenzione la tua mail contenente SPAM ….......leggere e compilare i dati richiesti................ “ ed anche '…......... si prega di guardare con attenzione nella e-mail tra cui SPAM...........' ' …...... Registratevi con il vostro conto Internet Banking e seguite i passaggi necesari. ….....”

Come si vede un tentativo di rendere attendibili i messaggi precedentemente ricevuti, con i phishers che vogliono assicurarsi che le mails a noi indirizzate non siano finite per sbaglio nello Spam ….... o non lette......... e questo attraverso la novita' di mail senza links ma dai contenuti ingannevoli.

Edgar

giovedì 21 aprile 2011

Longevo phishing ai danni di Banca Popolare dell'Alto Adige (Agg. 21 aprile)

Continua ad essere attivo da almeno 3 giorni un phishing ai danni di Banca Popolare dell'Alto Adige.
Questa una delle mails ricevute oggi

il cui source e' stato anche corretto rispetto al problema dell'assenza di visualizzazione del logo della banca come analizzato qui

Per quanto riguarda gli headers in mail abbiamo ancora una volta l'accoppiata IP francese di origine (uguale ai precedenti) piu' redirect su IP giapponese

simili a quelli presenti in recenti azioni di phishing ed attribuibili ad R-team

e

Come dicevamo, l'odierno phishing, utilizza per il redirect, un codice incluso sempre sullo stesso sito gia' analizzato nei giorni scorsi (1 e 2) ed ospitato su server di noto hoster italiano

e che utilizza un sistema abbastanza semplice e facilmente verificabile di gestione dei codici di redirect.

Detti codici continuano ad essere 'tranquillamente' inclusi sul sito compromesso utilizzando la ben nota interfaccia Easy Content File Manager, dove vediamo oltre ai codici attuali (in giallo), anche quelli piu' datati di precedenti azioni di phishing.

Stessa longevita' la vediamo anche per il dominio, su hosting USA che ospita il clone, che appare essere sempre lo stesso ormai da tempo.


Le uniche differenze sulla url finale di phishing sono una modifica a brevi intervalli di tempo. dei percorsi al clone.


Come succede spesso, per chi cadesse nel tranello della falsa mail, dopo la pagina di falso login, segue quella fake di richiesta codici pin

per poi essere rediretti al reale sito della banca.

Da notare che esiste vicino alla scelta di login sulla pagina del reale sito di Banca Popolare dell'Alto Adige , un avviso cliccabile, che mostra dettagli che parrebbero essere legati proprio a questa azione di phishing.

Edgar