martedì 30 ottobre 2012

Fake offerta WIND attraverso alcune mails di spam (29 - 30 ottobre)

Poche righe per descrivere brevemente questo ennesimo ed attuale spam ai danni di Wind
Si tratta di alcune mails tra cui questa


con headers come 


oppure questa mail, simile alla precedente 


ricevuta attualmente, ma con differenti IP negli headers


Come particolarita' possiamo notare che in entrambi i casi,  i sources delle mails ricevute sono simili  


e mostrano il messaggio codificato in base64, che decodificato mostra


Si tratta di un espediente attuato dai phishers nel tentativo di evitare eventuali filtri antiphishing.

Si puo' notare anche che il logo presente in testa al messaggio mails 


e' linkato da sito IT 


Per quanto si riferisce all'hosting del  clone WIND a cui si viene linkati dalle mails abbiamo 


corrispondente a questo sito probabilmente compromesso


e che parzialmente tradotto mostra 


Le mails piu' recenti mostrano sempre redirect al medesimo clone WIND ma utilizzando subdominio fake creato su sito compromesso con whois 


Questo il clone WIND che attraverso 


e


e pagina finale di acquisizione password 'Verified by VISA'


cerca di catturare le credenziali di carta di credito di chi fosse caduto nel phishing.

Una volta 'confermati' i dati si viene rediretti sul reale sito WIND.


Edgar

venerdì 19 ottobre 2012

Ancora SPAM pericoloso con links a malware (19 ottobre)

Sembra essere in corso una nuova 'distribuzione' di SPAM ai danni di utenti IT della rete, considerato il testo in italiano di mails contenti link a file in formato ZIP con incluso malware.
Questo un esempio di mail di spam, dal testo del messaggio praticamente inesistente ma che comunque potrebbe incuriosire chi al ricevesse e fargli scompattare lo ZIP ed eseguire il fake PDF.


Ecco alcuni dei nomi di files zip linkati 


che presentano il consueto eseguibile mascherato questa volta non solo da caratteri 'underscore' (come in passato) ma anche, cosa forse piu' ingannevole, da spazi bianchi, nel nome del file.


Un whois mostra diversa provenienza con


e


ma anche


Una analisi VT evidenzia riconoscimento che varia da


a circa la meta' dei softwares presenti in VT


Edgar

martedì 16 ottobre 2012

Fake pagine di avviso di violazioni di legge su diritti di autore, sulla distribuzione di musica, films ecc... (16 ottobre)

Nel 2012 ha iniziato a diffondersi un worm ransomware conosciuto come Reveton, e soprannominato anche il "Trojan della polizia".
Il payload del malware consisteva in un avviso apparentemente  proveniente da  organi di polizia, con l'indicazione che il computer era stato utilizzato per attivita' illegali, come ad esempio il download di software pirata.
Il malware effettuava un blocco del sistema informando l'utente che, per sbloccare il computer, avrebbe dovuto pagare una multa utilizzando un servizio anonimo di pagamenti come  Ukash o Paysafecard presente sulla fake pagina. 
Per aumentare l'illusione che il computer veniva monitorato dalle forze dell'ordine, lo schermo visualizzava anche l'indirizzo IP del computer.
Versioni piu' recenti del malware potrebbero anche mostrare  immagini da webcam per dare l'illusione che si stanno registrando le 'attivita'' svolte dall'utente.
Reveton inizialmente inizio' a diffondersi in diversi paesi europei, nei primi mesi del 2012.
Nel maggio 2012, i ricercatori Trend Micro hanno scoperto varianti per gli Stati Uniti e il Canada, il che suggerisce che i suoi autori avevano in programma di colpire utenti del Nord America. Nell'agosto 2012, una nuova variante di Reveton ha iniziato a diffondersi negli Stati Uniti, richiedendo il pagamento di una multa di 200 dollari per l'FBI utilizza una scheda MoneyPak.........
(fonte wikipedia) (altre info QUI)

La segnalazione apparsa su phishtank 


e ripresa anche su d3lab.net   parrebbe nuovamente mostrare una attivita' online legata a questo genere di attacchi.
Si tratta di un server che ospita false pagine di avviso di violazione della legge sulla distribuzione di materiale protetto da diritti di autore, di detenzione e distribuzione di materiale con contenuti porno ecc....
In realta' e' l'ennesimo tentativo online di proporre false comunicazioni a fronte di un probabile blocco del computer da parte di noto malware, con l'avviso di pagare la sanzione proposta.
Quello che rende interessante questo caso  e' l'elevato grado di dettaglio raggiunto nel layout delle pagine proposte ed inoltre l'uso per il 'pagamento' di servizi quali Ukash e Paysafecard. 

Ecco una ,incompleta, ma lunga serie di pagine proposte, che vengono personalizzate facendo riferimento all'IP di chi accede alla pagina stessa.
Attraverso un semplice script Autoit e' possibile commutare 'al volo' i nodi di uscita utilizzati da TOR


cosa che ha permesso di selezionare diverse provenienze 'virtuali' visitando la pagina del falso avviso della polizia.

Ecco come si presenta con 

IP francese


mentre nella parte bassa della pagina troviamo riferimenti personalizzati e loghi a dove reperire i servizi di pagamento utilizzati



IP belga


IP austriaco 


con a fondo pagina


IP spagnolo


IP svedese


ma anche IP Canadese


e USA


IP irlandese


IP polacco




IP tedesco


IP finlandese


ecc.........

Sugli IP non presi in considerazione per la personalizzazione dei contenuti di pagina, viene usata questa di default (esempio con IP argentino)


Non poteva naturalmente mancare la pagina in italiano con


ed in dettaglio


e


Un altro interessante particolare e' il sistema adottato da chi gestisce le pagine per acquisire i pagamenti in maniera anonima.

Vengono infatti proposti due differenti modi di pagamento.

Il primo usa www.ukash.com  il cui utilizzo parrebbe garantire l'acquisizione in modo anonimo del contante richiesto per pagare la falsa sanzione.
Su questo sito in lingua italiana un testo abbastanza chiaro su come funziona il sistema Ukash

Simile a Ukash e' il servizio fornito da  www.paysafecard.com


sulla homepage del quale vediamo un avviso proprio sui casi visti prima.

Edgar

sabato 13 ottobre 2012

BlackHole exploit Kit 2.0 e nuovo layout della pagina di redirect (13 ottobre)

AVVISO ! Ricordo, come sempre, che, anche se alcuni links sono in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....).
Si tratta di links a malware ed exploits, spesso poco riconosciuti dai software AV.

Sino a qualche giorno fa erano numerosi i links, trovati in rete, a pagine come questa


notoriamente legate alla distribuzione di codici di exploits attraverso il kit BlackHole.


Da pochi giorni notiamo invece la quasi totale scomparsa delle pagine con il "vecchio" messaggio di attesa 'WAIT PLEASE Loading ....'  mentre sta aumentando il numero di quelle che presentano questo layout


anche come risulta da questo report:


Analizzando il sorgente di uno dei casi presenti troviamo


con una struttura simile a quella vista per i codici che linkavano a BlackHole exploit in passato 


Nella nuova pagina possiamo anche notare la presenza, tra i 3 proposti, di un link a sito .IT compromesso.


Seguendo il link e troviamo



Si tratta del successivo redirect alla pagina che ospita gli exploit e che contiene un codice offuscato che vediamo in dettaglio:


Una volta de-offuscato appare subito il tipico codice gia' noto in precedenti casi e da cui estraiamo 


con link a fake update flash 


dai contenuti malevoli, ben poco rilevati in VT 


Altro frammento di codice


vede un link a fake PDF con riconoscimento in VT ancora  piu' basso


Naturalmente questi files fanno parte del codice di exploit che, se presenti vulnerabilita' attive, produrra' i noti effetti sulla macchina colpita.
Ulteriori analisi della URL malevola mostrano conferma dei contenuti pericolosi classificandoli come collegati alla distribuzione BlackHole exploit Kit 2.0.


Per capire meglio cosa sia cambiato dalla vecchia versione del KIT alla nuova e' interessante andare a leggere una sorta di  'pubblicita'' al BlackHole kit 2.0 che e' rintracciabile online.
Il testo ci offre la possibilita' di conoscere, almeno in parte, anche quali 'misure' siano prese dai creatori del KIT per evitare il rilevamento e l'analisi online dello stesso.

Ecco una parziale traduzione

…............. le aziende AV sono diventate molto veloci nel riconoscere BlackHole come malware. 
Nella nuova versione abbiamo riscritto da zero, non solo una parte del rilascio degli exploit, ma anche il pannello di amministrazione.
Tra le novita':
1. E' implementata la massima protezione dai sistemi automatici per il download di exploit, utilizzati dalle aziende AV: viene generato un solo URL dinamico, che e' valido per alcuni secondi e cio' ti garantisce una sola 'vittima' alla volta.
2. Ora, il tuo eseguibile e' anche protetto dal download multipli, la societa' AV non potra' scaricarlo e questo manterra' l'exe piu' a lungo  attivo ........
3. Exploit JAR e PDF solo per versioni rilevate vulnerabili ai plug-in,  se il plugin presente non e' vulnerabile, non viene  utilizzato e non si entra in un loop di rilevamento delle vulnerabilita'.
4. Non si utilizza piu' il plugindetect per determinare la versione di Java cosa che elimina un sacco di codice in piu', accelerando in tal modo i pacchetti di download, …............
5. Sono stati rimossi tutti i vecchi exploits, con riduzione del codice, effetti visivi non voluti e crash del browser, come Flash, HCP, PDF-All ...
6. Nella versione 1.X,c il links al payload maligno purtroppo era riconoscibile dagli AV e dal reverse del codice come .. / Main.php? Varname = lgjlrewgjlrwbnvl2. 
La nuova versione del collegamento al payload maligno si puo' scegliere tra varie possibilita'
Ecco alcuni esempi:
 /news/index.php
 /contatti.php 
e cosi' via.
Per il momento nessun AV puo' evidenziare il nome creato automaticamente da dizionario con  parole reali e non con lettere casuali.
7. Quando il visitatore rientra sul sito exploit puoi decidere cosa fare:...........  reindirizzare su qualsiasi altro sito   ecc....
8. Ora tutte le URL sono dinamiche, senza nomi permanenti per le variabili che potrebbero essere rilevabili ….......
Inoltre abbiamo sviluppato e implementato trucchi che preferiamo non rivelare in pubblico perche' i concorrenti e le societa' AV possono leggere queste note.

Tra le innovazioni nel pannello di amministrazione:
1. Captcha inserito per l'accesso
2. Le statistiche selezionabili dal menu a tendina nella home page delle statistiche, disponibile la visualizzazione rapida ecc......
….............
5. Elenco dei sistemi operativi: aggiunto Win 8 e dispositivi mobili, in modo da vedere il volume di traffico mobile e il traffico cellulare........
…................
10. C'e' una nuova voce "Versione Software", dove si puo' vedere la versione dei plug-in Java, Acrobat Reader …..... E 'molto utile per valutare la qualita' del traffico e per monitorare  la versione corretta del plugin.
11. Completamente aggiornata la "Sicurezza"
a) la possibilita' di bloccare il traffico senza referer (si consiglia di tenere sempre ON)
b) la possibilita' di vietare referer inutili
c) la possibilita' di vietare tutti i referer ad eccezione di alcuni
d) la possibilita' di vietare i bot …....
d) la possibilita' di vietare rete TOR........  (si consiglia di tenere sempre ON)
…....................
12. Menu,"Statistiche Ban", in cui e' possibile vedere il numero di traffico bloccato, e la ragione …......
13. Nella sezione impostazioni, e' ora possibile specificare piu' in dettaglio cio' che vogliamo fare con le statistiche di provenienza 
14. Aggiornare il database GeoIP con un solo clic in Admin
…......................
In effetti, la versione 2.0  e' un sistema completamente nuovo scritto interamente da zero, visti i piu' di due anni di attivita', della versione 1. * 

Come si vede da quanto sommariamente tradotto una panoramica abbastanza dettagliata su caratteristiche e possibilita' di un KIT  di distribuzione di exploits che e' probabilmente uno tra i piu' utilizzati attualmente.

Edgar