venerdì 30 marzo 2012

Hosting di cloni di phishing o redirect a phishing su servers locati in paesi 'esotici' (30 marzo)

Ricevute nella giornata di ieri due segnalazioni attraverso l'uso del 'DB segnalazioni phishing' del blog.

Naturalmente ringrazio chi ha indicato i due siti clone ed anche ha rilevato come l'hoster ... non risponde, ne' prende alcun provvedimento al riguardo della bonifica del sito sia nel caso del server con whois riferibile a Djibouti Telecom

che nel caso dell' hosting con IP della Mongolia.

Si tratta di un problema noto da tempo e che non si limita ai soli siti di phishing ma in generale a molti di quei siti che sono coinvolti in attivita' quali pharmacy, distribuzione malware, falsi AV,truffe online di vario genere ecc....

La scelta di un hosting in un paese 'esotico' rappresenta un buon sistema scelto dai phishers per evitare che il sito possa venire messo OFF-line attraverso una azione di sospensione dell'account, dell'hosting ecc... in quanto vi sono evidenti difficolta' da parte di chi deve richiedere all'hoster lo shut-down del sito web ed anche indagare sugli autori e gestori del sito clone.

Spesso, per hoster in nazioni per cosi' dire remote, mancano riferimenti sui possibili canali di contatto quali mails o recapiti telefonici, ma anche azioni legali da parte delle autorita' giudiziarie sono limitate, ad esempio, da legislazione differente rispetto a quella italiana od europea quando addirittura non esistente nello specifico caso di reati compiuti sul web.

Per indagare od avere accesso ai dati presenti sul server che potrebbero essere utili ad individuare i phishers coinvolti, puo' essere necessaria una rogatoria internazionale e l'apertura di un procedimento presso la magistratura locale del Paese interessato.
Fare una rogatoria internazionale richiede tempi lunghi mentre un sito di phishing puo' essere messo off-line dai suoi gestori (i phishers) nel giro di poche ore, al massimo di qualche giorno, per ricomparire poi attraverso modifiche dei redirects, su differente server locato in altra nazione.
Da notare poi che quasi sempre il sito clone non e' ospitato su dominio legittimo (si fa per dire) registrato dai phishers ma si tratta per lo piu' di siti compromessi i cui gestori ignorano persino la presenza dello stesso clone sul loro spazio web.
Non ultimo il fatto che anche avendo la possibilita' di una comunicazione via mail od anche telefonica possano esserci problemi di lingua.

Per quanto si riferisce agli Ip rilevati in questi anni di analisi del phishing da parte del blog possiamo dire che le nazioni coinvolte, non propriamente tra le piu' note, sono state diverse anche se in percentuale il maggiore traffico di phishing proviene da hosting in paesi ben piu' conosciuti, (anche se poi non vuole dire che sia sempre facile contattare l'hoster per bloccare il sito in questione)

Phishtank riporta ad esempio una mappa mondiale che vediamo per il

gennaio 2011

e
gennaio 2012

dove son riportate le percentuali di hosting relative a siti di phishing

Come si nota la maggior parte dell'hosting e' effettuata in USA.

Si potrebbe anche obiettare che la mappa rispecchia in pratica la capacita di hosting di una nazione.
Ad esmpio gli Stati Uniti sono al primo posto di hosting di phishing poiche' sono anche tra le nazioni con il piu' alto numero di servizi di hosting, cosa che si riflette sul numero totale dei siti clone ospitati su servers USA.


Questa una mappa Websense

che vede in effetti anche es. l'Egitto rientrare tra i paesi con maggior numero di host di siti di phishing.

Il nome delle nazioni coinvolte dipende poi anche da situazioni legate al tipo di phishing che ha come target banche locate in una specifica nazione.

Ad esempio nei casi di phishing ai danni di banche IT si e' visto spesso l'uso di servers Altervista con whois italiano e tedesco.
Evidentemente, come c'era da aspettarsi, e' stato sicuramente piu' facile, per chi si occupa del contrasto al phishing in Italia, contattare un hoster italiano che uno con sede ad Ulan Bator in Mongolia

Ritornando ai due casi segnalati ad inizio post, una delle soluzioni possibili in mancanza di contatti con l'hoster e' quella di cercare di acquisire il maggior numero di informazioni utili ad identificare la fonte del phishing per capire la reale provenienza dell'attacco.
E' quasi certo infatti che es. nel caso dell'hoster di Djibout, non si tratti di un phisher locale ma piuttosto di un phisher che utilizza il sito africano come supporto all'attacco.

Come si vede dagli screenshots in questo caso e' stato possibile analizzare i contenuti del sito in maniera approfondita

rilevando alcuni dati al riguardo del 'gestore' del phishing, mails di invio credenziali sottratte ecc..



ed anche, che si tratterebbe di azione di phishing non piu' attiva considerate le date dei files presenti, risalenti, quelle dei file di log, a qualche giorno fa.

Edgar

giovedì 29 marzo 2012

'Si prega di pagare questo conto fino alla fine del mese'. Ancora spam con allegato zip malware (29 marzo)

Ormai uno degli indici che preannuncia una nuova 'campagna di spam', con con allegato malware incluso in file zip e testo in lingua italiana, e' la tendenza in aumento del numero degli accessi al blog.

Ecco l'attuale grafico del mese di Marzo

dove ai picchi di accessi al blog corrisponde il picco di invio di spam pericoloso costituito dal consueto allegato .zip con contenuto di fake doc, pdf … e la lunga serie di caratteri underscore nel nome per mascherare la doppia estensione (doc + exe)

Anche un report sulle keywords usate recentemente in ricerca e che linkano questo blog, identifica la nota stringa 'Monte Biz' ai primi posti.

Derivata forse da un iniziale testo di mail di phishing ai danni di banca IT la stringa "Monte Biz" e' diventata la firma che contraddistingue parte di questo spam malware.

Vediamo alcuni dettagli aggiornati ad oggi.

Il testo delle mails si presenta come

==============================================================

Buongiorno,

Si prega di pagare questo conto fino alla fine del mese.

http://sito_compromesso/conto/Conto.zip?qIqreSWdkdkwwKH

==============================================================

ma anche come gia' indicato, con al presenza di 'Monte Biz' nel testo del messaggio.

Chiaramente non esiste nessun legame con azioni di spam ai danni di banca IT in quanto non viene riprodotto nessun layout che simuli pagine di banca IT o vengano presentati loghi in mail riconducibili a banche IT.

==============================================================

Gentile utente, Monte Biz

Si prega di pagare questo conto fino alla fine del mese.

http://sito_compromesso/pagamento/Dettagli.zip

==============================================================

In entrambi i casi si nota testo in un italiano non molto corretto ed allegato zip.
Anche nello spam attualmente attivo, come nei precedenti il file zip, contiene il consueto file mascherato da doppia estensione

e presenta date attuali per entrambi i files anche se il fake PDF parrebbe essere il piu' 'aggiornato'

Ecco infatti il fake doc (27/3)

ed il fake pdf a confronto (28/3)

Al solito una analisi VT mostra un riconoscimento abbastanza basso, specialmente nelle prime ore della diffusione del malware,

mentre con il passare del tempo il riconoscimento aumenta,

con al momento della analisi questo report

anche se c'e' da considerare che nel giro di qualche giorno ( di solito una settimana) potrebbe esserci una nuova 'campagna' di spam con nuovi contenuti malware.(e quindi nuovamente bassi riconoscimenti iniziali)

Come sempre vale la regola di non scaricare allegati o seguire links presenti su mail dai mittenti e dai contenuti dubbi .
Per di piu' si tratta di messaggi facilmente identificabili sia dal layout, dal ricorrente testo 'Monte Biz' presente e pure dal sempre presente allegato .zip dai nomi noti (fattura, conto, dettagli, ecc....).

Basarsi solo sul fatto che abbiamo attivo sul PC un antivirus non e' invece indice di completa sicurezza in quanto, come abbiamo visto, alcuni anche tra noti software Av potrebbero, specialmente nelle prime ore di diffusione dello spam non rilevare i contenuti malware dei files allegati in mail.

Edgar

mercoledì 28 marzo 2012

Distribuzione malware attraverso codici inclusi in sito IT. Link a pagina 'Download photoalbum' (28 marzo)

AVVISO ! Anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di links a malware attivo e, in alcuni casi, poco riconosciuto dai softwares AV

La distribuzione in rete di malware attraverso link a pagine che propongono download di eseguibili malware e 'sempre molto attiva.
Una caratteristica importante di quasi tutti i casi di siti che propongo codici pericolosi e' l'utilizzo non di links diretti all'host del malware ma piuttosto l'uso di redirect attraverso pagine incluse in siti legittimi.
In questo caso i siti compromessi fungono solo da tramite per linkare l'hosting finale di trojan, spyware ma anche molto spesso di fake AV.
Chiaramente chi visita il sito compromesso non si accorgera' della presenza della pagina inclusa che effettua il redirect a malware e la stessa potra' rimaner attiva, senza che chi amministra i sito il piu' delle volte si accorga della sua presenza.
Oltre a costo zero, questo sistema consente di modificare spesso l'url di redirect garantendo, un po come avviene nel phishing, la bassa presenza dei link malevoli in blacklists poiche' sara' molto facile cambiare spesso sito compromesso.

I links presenti su siti legittimi sono di solito gestiti attraverso spam con messaggi che appunto puntano al sito compromesso oppure in, altri casi, sfruttando link presenti in messaggi legati a social network.

Ad esempio questo blog polacco (tradotto con Google)

illustra in data recente una analisi di link a malware che usa Facebook e link a codice incluso con struttura praticamente identica a quella che vedremo nel caso attuale di sito compromesso di hotel IT.

Vediamo alcuni dettagli dell'odierno sito IT compromesso:

Si tratta di sito di hotel del centro Italia di cui vediamo la homepage

e dove troviamo incluso questo semplice codice html

che a sua volta redirige su questa pagina di link a download di photoalbum


Come al solito non bisogna farsi ingannare dalla url che vede dominio US ma piuttosto analizzare l'IP che dimostra come sia utilizzato un servizio di free DNS

che permette di creare una url ingannevole e con l'IP che punta a

dove troviamo hostato l'eseguibile malware

Una analisi VT mostra un riconoscimento di circa la meta' dei softwares presenti

ed in dettaglio

mentre una analisi Anubis vede una attivita' di rete del malware che, una volta in run, scarica altri eseguibili sempre da indirizzo IP dello stesso range Ukraino visto ora

In questo caso la risposta dei softwares AV e' notevolmente piu' bassa con soli

6 dei 42 softwares AV che riconoscono il codice come pericoloso

In definitiva durante il test abbiamo acquisito questi due eseguibili entrambi dallo stesso range IP.

Notare le icone tra cui quella del secondo eseguibile che assomiglia ad una gia' utilizzata in files di fake AV.

Interessante un reverse IP, del range legato a questa distribuzione malware che evidenzia questo sto di pharmacy ( con IP multiplo ukraino e russo)

anche in lingua italiana e con ampia scelta di medicinali e non solo di Viagra e derivati.

Edgar

lunedì 26 marzo 2012

Siti di Pharmacy in lingua italiana. Situazione attuale anche alla luce dei recenti fatti di cronaca (26 marzo)

La notizia riportata ad esempio da www.repubblica.it o da ANSA, tra le tante fonti presenti, evidenzia il fatto che si e' trattato di un acquisto eseguito in rete effettuato forse tramite un annuncio EBay.
Anche se le analogie con i siti di Pharmacy si fermano a questo particolare, in quanto la sostanza acquistata non e da considerare un medicinale ma piuttosto un additivo alimentare, rimane il fatto che attraverso Internet siano comunque disponibili ed acquistabili on-line senza prescrizioni, farmaci la cui appartenenza non si limita ai 'soliti' Viagra e derivati.

Normalmente, nel descrivere il fenomeno Pharmacy si tende ad enfatizzare la vendita di Viagra, Cialis ecc... senza considerare che i siti di Pharmacy on line propongono anche altro genere di medicinali, cosa che vedremo nel post analizzando alcuni casi reali ed attuali che vedono coinvolti siti compromessi IT a supporto della 'distribuzione' online dei prodotti in questione.

Prima di questo riprendo parte di un post pubblicato a maggio 2011, dove in in un rapporto dell'European Alliance for Access to Safe Medicines (EAASM) si illustravano alcuni interessanti dati statistici tra cui:

* Il 62% dei farmaci acquistati on-line sono falsi o di qualita' inferiore (compresi i medicinali indicati per il trattamento di patologie gravi come malattie cardiovascolari e respiratorie, disturbi neurologici, e le condizioni di salute mentale).

* il 95,6% delle farmacie on-line operano illegalmente.

* il 94% dei siti web di pharmacy non hanno riferimenti per verificare chi li gestisce.

E' evidente che queste attivita' per poter essere attuate necessitano oltre che dei siti destinati alla vendita anche un adeguato sistema di 'pubblicita'', cosa che puo' essere facilmente ottenuta attraverso “particolari” risultati di ricerca in rete che puntino alle pagine di vendita.
Per fare questo uno dei sistemi piu' semplici e' sfruttare siti esistenti per includere al loro interno intere pagine di termini legati a viagra e/o altri medicinali (favorendo l'indicizzazione da parte dei motori di ricerca) ed opportuni links che puntino al sito od ai siti di pharmacy (creando cosi il collegamento diretto tra risultati della ricerca e l'indirizzo del sito di pharmacy)
Si tratta quindi di pratiche che tendono ad 'avvelenare' i risultati generati dai motori di ricerca per proporre ai primi posti links a Pharmacy o piu' frequentemente a siti compromessi che fanno da tramite (redirects) ai siti di Pharmacy.
In altri termini, come cita Wikipedia, l'acquisizione di visibilita' nei motori di ricerca viene ottenuta utilizzando metodologie e/o tecniche ritenute illecite o comunque apertamente in contrasto con i termini d'uso dei motori di ricerca stessi.
Definite anche come spamdexing queste pratiche consistono, come gia' detto, spesso nell'uso di testo nascosto su pagine web il cui unico obiettivo e' l'acquisizione di visibilita' attraverso contenuti che non sono destinati agli utenti, ma solo ai motori di ricerca.
Ci troviamo cosi' ad avere on-line molti siti compromessi con decine se non centinaia di links inclusi in maniera nascosta ma visibili dai motori di ricerca ed indicizzati.

Una caratteristica interessante e' che, oltre al coinvolgimento di siti italiani compromessi allo scopo di supportare il redirect, si tratta di risultati di ricerca che propongono anche pagine personalizzate a seconda dell'IP del visitatore e quindi anche con testo in lingua italiana e mirate per una utenza IT

Esaminiamo ora diversi casi 'tipici' attualmente attivi ricordando che si e' 'solo' cercato su siti IT eventuali links a Pharmacy senza estendere le verifiche a tutti i domini (.COM ecc...) , poiche' , molto probabilmente, la lista delle URLs di redirects a pharmacy e di pharmacy sarebbe stata di migliaia di indirizzi web.

Anche solo una ricerca per siti .IT ha portato comunque alla 'scoperta' di centinaia di links attivi e di relativi siti compromessi.

Tanto per fare un semplice esempio ecco un dettaglio delle mail di Google Alert

relativi a Pharmacy su siti .IT ricevute nelle ultime ore ed una proprio durante la stesura del post e che vediamo subito:

Si tratta di sito compromesso di Comune .IT e di cui andiamo a perfezionare una ricerca in rete per termini in italiano ottenendo

Sono numerosi i links generati da Google che attualmente puntano a pagine come questa (una delle tante) che vede presente sia il testo utile per creare appunto i risultati Google, oltre che naturalmente i riferimenti ai links al sito di pharmacy

In realta' infatti, se clicchiamo sul risultato della ricerca direttamente sulla pagina Google

verremo direttamente portati, senza che venga minimamente visualizzato il sito comunale, su

dove si evidenzia una 'personalizzazione' in italiano per il sito di pharmacy.

La cosa interessante e' che sempre di piu', questi siti propongono non solo Viagra e derivati ma medicinali di differenti tipologie.

Qui vediamo ad esempio la pagina relativa agli antibiotici (piu' di 40 differenti farmaci)

ma la scelta e' molto ampia , come ad esempio

ecc.........

Altra cosa interessante e' esaminare i siti hostati sul medesimo IP di questo sito appena visto e scopriamo cosi che allo stesso IP number sono associati parecchi siti tutti simili come contenuti e naturalmente tutti di pharmacy con differenti layout

Eccone alcuni screenshot dei siti su medesimo IP, nella versione italiana disponibile e con pagina che punta a diverse categorie di medicinali ….

e molti altri.....

Altra curiosita' e' che una ricerca su uno dei numeri telefonici presenti come 'contatto', rivela centinai di link ad ulteriori siti di pharmacy tra cui uno su dominio IT

e con whois riconducibile ad hoster IT ma con registrazione del dominio non italiana.
Parrebbe quindi esistere una origine comune o comunque ad esempio la gestione dei 'clienti' ed 'ordini' di molti dei siti visti adesso.

Per tutti i siti esaminati non parrebbe esserci comunque un recapito di riferimento all'azienda che gestisce la distribuzione di pharmacy ma piuttosto esisterebbe la possibilita' di richiedere info attraverso un form presente alla voce 'contatti'.

Qualche altro attuale esempio lo vediamo su questi due siti di P.A. Entrambi su stesso IP anche se con differenti layout

ed anche

In tutti e due i casi, caricando nel browser le pagine con la presenza di user agent Googlebot (simulando cioe' una visita al sito da parte di Google)

appaiono i contenuti di pharmacy (links e testo) che, per chi visita normalmente il sito, sono nascosti.

Altro caso questo di Universita' del Nord Italia che presenta pagina come

ma che se caricata simulando Google spider diventa

Attualmente una ricerca in rete evidenzia decine, ma forse sono molti di piu', di siti IT che loro malgrado nascondono contenuti di pharmacy, contenuti che probabilmente sono destinati a rimanere attivi per parecchio tempo visto la natura appunto 'nascosta' dei links presenti e rilevabili solo se vengono presi particolari 'accorgimenti' nelle impostazioni del browser ad esempio con l'uso di user agent riferiti ai piu' comuni motori di ricerca.

Per terminare ecco una mail di spam, una delle tante ricevute giornalmente,

che attraverso il pretesto di un possibile messaggio personale su Tagged linka in realta' all'ennesimo sito di pharmacy.

con vendita, anche in questo caso, di un notevole numero di differenti farmaci e non solo di Viagra e derivati....


Edgar