domenica 29 dicembre 2013

Mass inclusion di cloni di phishing su server .FR. Interessante aggiornamento con nuove aziende coinvolte oltre a quelle gia' rilevate (29 dicembre)

Una  piccola modifica allo script Autoit che gestisce il download dei sources Web piu' nuove chiavi URLs hanno permesso di aggiornare la mappa dei siti compromessi sul server FR che, come visto ieri, presenta notevole inclusione di pagine di phishing ai danni di aziende IT di telefonia mobile e  SNAI
I risultati sono ancora piu' 'sorprendenti' se si considera l'elevato numero di cloni inclusi, rilevati in ben 76 siti su 


Rilevante anche il fatto che oltre ai phishing SNAI e TIM analizzati ieri, si sono aggiunti, nei risultati della scansione, cloni di phishing ai danni di TRE e WIND.

Ecco i dettagli dei contenuti dei sources analizzati:

Clone TRE


incluso in 14 casi


Clone SNAI


presente in 17 casi


Clone WIND


presente in 26 casi


Clone TIM


presente in 19 casi


Riassumendo abbiamo 76 inclusioni di cloni di phishing


che vediamo anche  negli screenshot catturati e relativi alle singole urls


Si tratta quindi di una notevole azione di inclusione di codici di phishing su siti compromessi che, come gia' scritto, ricorda da vicino i tipici casi di hacking che vediamo quotidianamente, solo che, in questo caso, non si tratta di pagine solo dimostrative o con proclami di vario genere.

Edgar

sabato 28 dicembre 2013

Un breve aggiornamento sui siti di phishing Carrefour (28 dicembre)

A distanza di settimane dalla prima segnalazione sul blog di un phishing Carrefour gestito attraverso fake messaggio SMS molti dei siti clone utilizzati parrebbero essere ancora attivi. 
In dettaglio abbiamo almeno 4 siti clone attualmente ON-LINE su IP italiano 


gestiti attraverso l'utilizzo di frame che punta ad altro sito con i contenuti di phishing

Un clone 


con frame che punta a


Questo clone 


con frame 


Questo clone


con frame


Questo clone


con frame


Un quinto sito 


su IP


che non utilizza il supporto di frame ma propone direttamente i contenuti di phishing Carrefour.


Edgar

Mass inclusion di cloni TIM e SNAI su server .FR (28 dicembre)

Da qualche giorno si nota in rete una notevole presenza di phishing ai danni di TIM e SNAI con origine da stesso IP anche se hostati su differenti domini.
Questa caratteristica fa pensare a phishing gestito similmente a tipica azione di hacking che si sviluppa includendo pagine (in questo caso di phishing) su siti ospitati tutti sul medesimo server e che sono compromessi in massa.

Vediamo i dettagli:

Questo come appare un messaggio mail (o allegato) che propone il phishing TIM


mentre qui un esempio di messaggio di phishing SNAI 


In entrambi i casi i link parrebbero puntare a siti tutti hostati su 


Queste le pagine clone:
ecco quella TIM 


mentre questa la SNAI (Ulteriori dettagli sul phishing SNAI si possono trovare QUI.)


Tramite reverse IP possiamo ottenere un elenco dei siti hostati sul server FR e passando detta lista a tool Autoit scaricare i sources presenti relativamente ai due indirizzi di phishing.

Come c'era da aspettarsi una analisi dei sources scaricati conferma l'elevata presenza di cloni sia TIM


che SNAI


Possiamo ulteriormente filtrare i dati ottenuti che vedono:
nel  caso di phishing TIM


e catturando i singoli screenshots per ogni url rilevata come di phishing


Nel caso di phishing SNAI


che mostra anche Response Header come


e che riferito ai singoli cloni SNAI 


conferma per tutti stessa data di creazione.

Questa una gallery degli screenshots dei cloni SNAI


In conclusione abbiamo conferma come, in analogia con i numerosi casi di hacking  che vediamo quotidianamente, i phishers possano sfruttare vulnerabilita' presenti su siti o server, per creare inclusioni in massa di cloni di phishing.
La spiegazione delle inclusioni in elevato numero su differenti siti legittimi e quella di ottenere sempre nuovi indirizzi per le fake pagine che quindi saranno meno soggette ad essere messe in black list e bloccate.

Edgar

venerdì 27 dicembre 2013

Phishing CartaSi con supporto di sito IT ampiamente compromesso(27 dicembre)

Ricevuta mail di phishing CartaSi


con allegato file html che propone form di login CartaSI con


a cui segue


Questi i riferimenti IP in header mail


Il form scaricato come allegato usa in realta' un frame per acquisire le credenziali di login


frame che vediamo in dettaglio


I contenuti del frame ed il successivo form di acquisizione dati, sono ospitati su sito IT


ampiamente compromesso con presenza non solo di folders che ospitano clone CartaSI 


con


ma anche folder con clone PosteIT


con form


Da notare oltre alla presenza di diverse shells PHP probabilmente usate dai phishers anche di un file manager che parrebbe essere piu' datato 


ma che comunque potrebbe essere stato utilizzato per uploadare i cloni ed i files di supporto al phishing.

Edgar

giovedì 26 dicembre 2013

Ancora phishing SNAI (26 dicembre)

Ricevuta mail di phishing SNAI (SNAI S.p.A. e' una societa' per azioni italiana che si occupa della gestione di scommesse e di concorsi a pronostici.(fonte Wikipedia))


con headers


e testo messaggio codificato in BASE64.
Il link presente punta a pagina clone SNAI


hostata su 


La struttura del phishing molto simile al precedente caso analizzato QUI, pare indicare stessa origine del clone.
Anche questa volta viene utilizzato sito compromesso gestito dal medesimo hoster della scorsa volta, anche se diverso sito compromesso, sempre pero' in lingua francese
Il 'response header' della pagina fake parrebbe indicare che la stessa e' online gia' da qualche tempo


Una volta confermati i dati di login, dopo breve messaggio di avviso,


 si viene rediretti sul sito legittimo SNAI.

Edgar