venerdì 29 giugno 2012

Phishing ingannevole attraverso sito clone estremamente curato nei dettagli (29 giugno)

Attivo online questo sito clone di nota azienda italiana di telefonia mobile


con whois che rivela host su server IT


Confrontato con il reale sito le differenze sono poco evidenti.

 Naturalmente il reale sito presenta whois 

 e non riporta l'offerta fake proposta dal  clone


la scelta dell'offerta' fake viene invece forzata come  obbligata a chi fosse caduto nel tranello del fake sito 



 Il sito di phishing, curato nei minimi dettagli,  comprende diverse pagine che in sequenza propongono


 e

 


da cui si passa alla pagina fake di richiesta credenziali di carta di credito


ma a seguire anche il fake form di richiesta password del servizio “Verified by Visa”


per terminare con una fake pagina di conferma dell'avvenuto pagamento online.

 
Come in altri casi simili, lo scopo di questo phishing  e' sempre quello di acquisire le credenziali di carta di credito.
Da rilevare come tra  le possibili scelte di pagamento presenti sul clone  solo quella relativa a Visa – Mastercard  sia attiva mentre le altre non appaiono selezionabili.


 Cosa diversa sul reale sito dove tutte le opzioni sono disponibili.



Da evidenziare anche come il tentativo di visualizzare i folder del clone porti a questo messaggio


Edgar

giovedì 28 giugno 2012

Phishing, malware, servers remoti e procedure altamente automatizzate, insieme per il furto da conti bancari accessibili dalla rete. (28 giugno)

Il phishing come lo conosciamo e cioe' la falsa pagina di Banca od Azienda, con fake login ad account per accedere al conto online potrebbe avere sempre meno rilevanza nei casi di furto di denaro online.
Cio' non vuole comunque dire che le mails di phishing sono destinate a sparire, ma piuttosto ad evolvere  modificando i loro contenuti con link maggiormente malevoli.
Vediamo alcuni dettagli anche alla luce della recente pubblicazione (June 26, 2012)  di un report McAfee e Guardian Analytics.

McAfee e Guardian Analytics hanno infatti proposto un report che indaga sull'evoluzione del furto da conti bancari online attraverso l'utilizzo di procedure altamente automatizzate ed in grado, a quanto pare, di bypassare le protezioni anche di tipo hardware (chip in unione a PIN code di accesso)

Si tratterebbe di azioni fraudolente portate avanti con l'utilizzo di malware (SpyEye and Zeus) ed impiegando codici altamente  sofisticati per il riconoscimento dei conti bancari di piu' alto valore da colpire,  trasferendo somme in denaro calcolate in percentuale sull'importo presente sul conto bancario.
Si e' ad esempio rilevato l'uso di una percentuale fissa del  3%  oppure del  movimento dal conto colpito ad un conto o carta prepagata per un valore relativamente piccolo, pari a  500 EURO per ogni transazione fraudolenta.
E' chiaro che il sistema utilizzato tende ad evitare allarmi diffusi nascondendosi dietro i relativamente bassi importi sottratti.

In genere una volta che le vittime tentano di accedere al loro conto, le credenziali vengono acquisite attraverso un attacco di “man-in-the-browser-style” che propone un messaggio a video di “sistema in manutenzione"  mentre gli attaccanti trasferiscono i fondi sul loro conto.
Alcuni degli utenti interessati sono stati definiti come  "high rollers" (da cui il nome del rapporto McAfee e Guardian Analytics:'Dissecting Operation High Roller') , con una media di disponibilita' sul loro conto che va da  250.000 a  500.000 EURO mentre i trasferimenti effettuati dai 'ladri' informatici hanno interessato transazioni  sia a livello nazionale che  a livello internazionale tramite un trasferimento con codici  IBAN.
La cosa veramente innovativa parrebbe comunque essere la possibilita' di bypassare  il sistema di autenticazione tramite SmartCard e accesso tramite PIN code.
Normalmente, l'utilizzatore di una smart card la inserisce nel dispositivo di lettura e digita un PIN a fronte del quale il Sistema della Banca genera un token digitale.
Token che lo script malware e' in grado di acquisire ed elaborare,  mentre l'utente rimane in attesa davanti ad un messaggio a video che informa di aspettare lo 'sblocco' della transazione.

Altra novita' e' l'automazione  Server-side delle procedure di trasferimento delle somme in denaro   con utilizzo di  cloud-based server ("server-side") anziche' di codici pre-caricati come parte del malware downloadato sul PC delle vittime (computer "client-side").

Assistiamo cioe' all'utilizzo di un alto livello di automazione che cattura le one-time password, controlla saldo del conto, avvia le operazioni, e cerca su un database dedicato un account 'aggiornato ed attivo' dove trasferire il denaro, il tutto senza la partecipazione attiva dei ladri informatici.
Inoltre il malware sarebbe anche in grado di filtrare eventuali mail di conferma dell'avventa transazione,  impedire la stampa dei report del conto , e modificare i valori delle transazioni visualizzate in base a quanto la vittima si aspetta di vedere.

Il report McAfee - Guardian Analytics  analizza nel dettaglio alcune diverse strategie di attacco  iniziando da una tipologia definita come  “Attacco standard”

E' interessante analizzarne i principali passaggi che riassumono in pratica come si sviluppa un attacco che vede sempre come base una mail di phishing ma che poi evolve piuttosto in un attacco definibile 'malware' .

Ecco le principali fasi :


- Ricezione da parte dell'utente Internet di una mail di phishing con link a pagina contente codice malevolo o ulteriori links (spesso in maniera automatica) ad altre pagine / siti con exploits ecc....
- Se l'utente segue il link in mail, possibile attivazione dell'exploit (Black Hole kit ecc ) che a fronte di una eventuale  vulnerabilita'  del browser della vittima,  cerchera' di sfruttarla per per  comprometterne il computer.
- Ulteriore installazione da parte dello script exploit  di un Trojan Downloader che a sua volta  installera' SpyEye o Zeus od altro malware dedicato…....  sul dispositivo della vittima.

A questo punto se l'utente accede a servizi bancari online dal computer infetto :

- Il malware verifica alcuni parametri, come ad esempio il tipo di conto ed saldi contabili.
- Se i parametri sono quelli che il malware sta cercando, lo stesso contatta il server di comando e controllo e scarica codice appropriato  allo specifico bersaglio Banca.
- Lo script iniettato prende il controllo della sessione e  contatta il server per ottenere istruzioni specifiche.
Si puo' trattare esempio di una simulazione di messaggio di errore che  viene attivato dopo che la vittima ha effettuato il login (es. come la vittima effettua il login, puo' essere chiesto di rispondere ad una domanda di sicurezza e viene proposto il messaggio di errore. Questo  crea il ritardo che consente al software malevolo di eseguire la transazione al posto del reale utente della banca.)
A questo punto la vittima non ha effettivamente autenticato ma e' bloccata con un messaggio "please wait" per il tempo necessario ad eseguire la transazione da parte dei ladri informatici.
Seguiranno ulteriori  operazioni nascoste da parte del malware anche a seconda che la Banca richieda ulteriori codici di autenticazione della transazione.
Inoltre il malware rimarra' residente nella memoria del computer e potra' alterare il report generato  dalla banca,  filtrare eventuali mails di conferma ecc.....

Una variante di questo tipo di attacco vede la novita'  dell'utilizzo di servers sui quali vengono installati i softwares che gestiscono le transazioni fraudolente.
Sono stati individuati sino a 60 cloud-based server malevoli per gestire  le transazioni al posto di gestirle dalla macchina compromessa dell'utente.
La maggior parte dei server maligni sono ospitati da provider definiti  bulletproof ISPs  (Internet Service Provider a 'prova di proiettile”); si tratta cioe' di fornitori di servizi locati in paesi in cui spesso non e' in vigore una legislazione od accordi internazionali per perseguire le frodi su Internet.

Una ulteriore variante documentata dal report vede una azione ibrida da parte dei malfattori con impiego di procedure sia automatiche che manuali a supporto dell'attivita fraudolenta di accesso al conto preso di mira.


Dalla lettura del report e da quanto esposto su post pare comunque evidente che:

1) Anche se alcuni parlano di una '…..fine dl phishing........' in realta', anche se con forme diverse la pratica delle mails fraudolente riconducibili a Banche, aziende ecc... (phishing)  rimane ben attiva e presente online.
Se ricordiamo, infatti, come si sviluppano questi attacchi, il report indica chiaramente che l'azione preliminare e' sempre “ …...... L'invio di una mail di phishing con link a pagina contente codice malevolo o ulteriori links …..”

2) E' da notare come a seguito della fake mail ci sia sempre una compromissione del  computer   attraverso piu' o men noti codici malware (KIT BlackHole ecc.....) che sfruttano vulnerabilita' vecchie, non correttamente patchate, o nuove …....
Se vediamo come attualmente lo spam malware e' diffuso  (vedi ad esempio  il ricorrente caso della mail (tutto sommato di phishing) con link a file zip con malware che sta colpendo utenti IT) possiamo pensare che una parte di questi codici malevoli sia costituita da trojan downloader che potrebbero al limite scaricare su PC colpito software orientato al furto online.

Il report completo McAfee - Guardian Analytics  (in lingua inglese) e' scaricabile da qui 

Edgar

mercoledì 27 giugno 2012

Spam con link a malware (27 giugno)

Un breve aggiornamento sullo spam malware attraverso mails con linkato  ZIP dai contenuti malevoli.
Oltre a questa segnalazione sul “DB Segnalazioni del  blog 


anche in data odierna parrebbe essere attiva la distribuzione malware o quantomeno i files ZIP contenenti il malware sembrano ancora mantenuti 'aggiornati' da chi porta avanti questa intensa campagna di spam.

Ne e'  dimostrazione ad esempio un attuale sito IT compromesso


 con whois


che attualmente hosta non uno ma ben tre diversi files ZIP


da cui


tutti dal medesimo contenuto malevolo e che differiscono solo per il nome (vedi MD5)


Considerato che il file malware viene per il momento costantemente 'aggiornato', una analisi VT mostra poche differenze rispetto alle precedenti analisi malware.


Edgar

Aggiornamenti phishing ai danni di Banche IT (27 giugno)

Continua sempre in maniera sostenuta il phishing ai danni di banche, aziende, ecc....  IT.

Questo un estratto della mail

------------------------------------------------------------------------------------------
    Subject: COMUNICAZIONE IMPORTANTE
    From: "Banca xxxxxxxxxxxx "
    Date: Wed, 27 Jun 2012
   

Gentile Cliente,

Con riferimento alla pratica aperta a suo nome per accessi non autorizzati al suo conto - ai fini della definizione della stessa - la preghiamo di accedere all'area riservata del sito internet di Banca xxxxxxxxxx : www.xxxxxxx.it e completare la procedura di verifica.

Qualora non provveda ad aggiornare il suo profilo entro 24h dalla ricezione di questa e-mail saremo costretti a sospenderle il conto per prevenire un eventuale uso fraudolento.

Clicca qui e segui la procedura di aggiornamento!

------------------------------------------------------------------------------------

Niente di nuovo rispetto a precedenti mails se non il fatto che il testo e' scritto in un buon italiano contrariamente ai molti messaggi di phishing che di solito lasciano parecchio a desiderare in quanto generati, probabilmente,  da traduttori automatici..

Per quanto si riferisce alla struttura di questo phishing vedremo che, anche questa volta, sono coinvolti i  'soliti' phishers e le consuete procedure che utilizzano sia Asset Manager che l'uso di pagine  legittime della Banca a cui si viene rediretti per  ottenere un messaggio ingannevole al termine  dell'azione di phishing.

Ecco i dettagli:

Il link in mail punta ad un redir gestito su sito 


 
che  presenta questo Photo manager dal layout curato 




Questa una traduzione del top della pagina


Il redirect, punta a sito da queste parti


che presenta un classico File Manager



che in dettaglio


 propone il clone della banca IT presa di mira


Da notare come, anche questa volta, i codici PHP di gestione dei vari forms di phishing siano hostati su differente sito con whois


e con il supporto di un classico  Asset Manager  dal ben noto layout


Analizzando in dettaglio i contenuti presenti, scopriamo non solo i codici php relativi all'attuale phishing


ma altri differenti codici  PHP legati a phishing sempre ai danni di Banche IT


con




Si tratta comunque di PHP che evidenziano tutti la ben nota mail di invio credenziali al phisher che e' attiva da lunghissimo tempo
Da notare quindi come la struttura del phishing attuale sia supportata da files manager raggiungibili da remoto ed utilizzabili senza restrizioni.
Tornando al phishing preso in esame  abbiamo un altro dettaglio interessante e cioe' come, dopo la richiesta codici di password dispositiva, si venga rediretti su una particolare e legittima pagina della banca 


che presenta l'avviso di corretto  LOG-OUT



Il link a questa pagina legittima rappresenta sicuramente un ulteriore tentativo fatto dai phishers per  rendere maggiormente ingannevole la loro azione fraudolenta.
Essere infatti rediretti su una reale pagina del sito della Banca che, tra l'altro, conferma il corretto LOG-OUT,  potrebbe far credere, a chi fosse caduto nel phishing, di aver effettuato il precedente login su legittimo sito e non su un clone di phishing.

Edgar

martedì 26 giugno 2012

'Il tuo ordine e stato accettato'.Continua in maniera intensa lo spam pericoloso (26 giugno)

Continua in maniera intensa lo spam pericoloso con link a file zip contenente malware.

Questa una attuale mail 


che mostra che il file contenuto nello zip presenta data piu' recente


 rispetto a quello visto ieri


cosa che dimostra un costante 'aggiornamento' dei codici malevoli per evitare il riconoscimento da parte dei softwares AV.

Attualmente  un buon numero di softwares AV non riconosce il contenuto malware del file


Questi i software che non rilevano il file come pericoloso


mentre  questi quelli che evidenziano un contenuto malware


tenendo sempre conto dei possibili limiti di una scansione online on-demand come quella di Virus Total.

L' attuale codice preso in esame e' ospitato su sito compromesso con whois


Che la diffusione di questa 'campagna' di spam pericoloso sia attualmente ben attiva lo dimostra anche uno sguardo ai log di accesso al blog che vedono una impennata notevole nella consultazione 



di post legati a questo attuale spam malware


Come gia' sottolineato altre volte l'unico pericolo che proviene da questo genere di mails e' l'esecuzione sul PC del file linkato camuffato da pdf considerato il basso riconoscimento malware.
Indipendentemente dal fatto che occorre sempre la massima attenzione prima di aprire ed eseguire allegati contenuti in mail ricevute da mittenti sconosciuti o seguire links di dubbia provenienza, ricordo anche che si potra' effettuare una scansione online es. con Virus Total per verificare il codice linkato.
Da notare che, es. con Virus Total, sara' possibile  passare direttamente per l'analisi il file in formato ZIP senza la necessita' di  estrarne i contenuti da verificare in quanto Virus Total accetta direttamente  questo formato.

Edgar

lunedì 25 giugno 2012

Gentile utente, Monte Biz (25 giugno)

Nuovamente spam pericoloso attraverso la ben nota mail con link a file zip contenente malware.
Da notare che, sia la mail  (24 giugno)


che  il file contenuto nello zip (23 giugno) hanno data recente


Data recente che unita ad un riconoscimento Av abbastanza basso

 

dimostra che siamo di fronte ad una nuova distribuzione del noto spam dai contenuti malevoli ed orientato ad utenza italiana della rete.

Per quanto si riferisce ad altri dettagli, il file zip e' ospitato su server


e su sito compromesso.

Come sempre il testo del messaggio mail, dalle dimensioni molto ridotte ed in un italiano non sempre corretto, tenta di incuriosire che ricevesse la mail per fargli seguire il link ed aprire il file zip ed il relativo contenuto fatto passare per PDF, cosa che potrebbe essere abbastanza rischiosa in quanto alcuni noti softwares AV parrebbero non riconoscere ancora i contenuti malware del  fake PDF.

Su precedenti post del blog potete trovare numerosi dettagli su questo genere di spam che ormai da mesi interessa ciclicamente utenti IT e si presenta sempre con link a file zip contente fake PDF, DOC …. ed estensione EXE (file eseguibile) mascherata da lunga sequenza di caratteri _ (underscore) ma altre volte da spazi bianchi, nel nome del file. 

Edgar

domenica 24 giugno 2012

Ancora phishing orientato al furto di credenziali di carta di credito (24 giugno)

Tra le varie mail ricevute vediamo questa odierna, ai danni di banca IT


 con headers

e che presenta interessanti analogie con il 'classico' phishing che da anni colpisce PosteIT attraverso la comunicazione della vincita di un  fake ''bonus' sotto forma di accredito sul proprio conto o ricarica del cellulare.

Interessante notare come oltre al 'bonus' ci sia anche un'altra stretta analogia con il phishing PosteIT e precisamente l'uso di una immagine gif cliccabile con link al sito clone della banca.
Dal source mail si puo' notare come la gif sia in realta' hostata su sito Poste IT.



con

 

Il link in mail punta a server


dove troviamo questa fake pagina di nota banca IT (tra l'altro oggetto di phishing ricorrente qualche anno fa ma della quale non ricevevo mails di phishing da tempo)


con form di login


che punta a


Come si nota si tratta dell'ennesimo tentativo di acquisizione di credenziali di carta di credito, cosa che parrebbe essere sempre piu' diffusa rispetto al phishing che tenta di acquisire login e password dispositive per gestione di home banking.
Tra le varie ragioni di questa tendenza c'e' sicuramente l'uso di dispositivi hardware OTP o di abilitazione a transazione attraverso SMS,  che rendono difficoltoso ai phishers di venire in possesso di codici di accesso legittimi al contrario delle credenziali di carta di credito che possono esser sfruttate piu' facilmente online.

Edgar