venerdì 22 febbraio 2013

Siti IT compromessi con semplice inclusione di iframe (22 febbraio)

In precedenti post avevamo visto come fossero presenti in rete numerosi siti con inclusione in homepage ma spesso anche in altre pagine, di script offuscati abbastanza complessi.
Quella odierna e' invece una ricerca in rete che ci mostra come anche un semplice script di dimensioni veramente ridotte possa servire allo scopo di linkare a malware
Pur non essendo un attacco recentissimo sono molti i siti IT coinvolti ed alcun mostrano ancora attiva la pagina a cui si viene linkati dall'iframe incluso.

Ecco quindi alcuni dettagli di siti IT che presentano incluso codice che redirige a malware.

Questo un sito IT


con incluso iframe posizionato a fine codice di homepage


Stessa struttura di script per questo sito IT


che vede 


Altro sito IT compromesso 


che a differenza di altri mostra come lo script punti a noto servizio di free hosting italiano linkando codice malware:


In tutti i casi si puo' notare come l'iframe linki ad altro sito, compromesso, che ospita una pagina web con contenuti malware.

Anche se riuscire a analizzare il codice malware linkato non e' semplice (di solito se la pagina con codice  malware e' richiamata piu' volte, dopo la prima si viene rediretti es. a pagina Google oppure altre volte viene comunque riconosciuto se l IP del visitatore e legato a proxy, TOR ecc...) nel caso di un sito IT compromesso si e' potuto analizzare anche quanto contenuto nella pagina linkata:


I risultati mostrano che si tratta di malware poco riconosciuto dai software AV:


Dal punto di vista degli IP coinvolti da questo genere di distribuzione malware si puo' dire che non esiste un particolare hoster preferibilmente colpito ma i siti compromessi sono hostati su diversi servers IT.

Edgar

sabato 16 febbraio 2013

Furto di credenziali di accesso a servizi webmail ma non solo (16 febbraio)

Ampiamente descritto in numerosi post su questo blog, il furto di credenziali di accesso a servizi di webmail sembra essere in continua espansione.
Sono molte le fake pagine online che riproducono piu' o meno fedelmente la pagina di login di accesso a servizi webmail come GMail, Windows Live Mail, Yahoo Mail, AOL ecc....
In tutti questi casi poi, il fatto che il login di accesso sia valido anche per altri servizi online (vedi ad esempio il login a Google Mail che permette accesso anche agli altri servizi online Google) rende ancora piu' facile il possibile furto di dati personali sensibili.

Ecco un attuale folder online


 su server con IP giapponese 


che presenta vari contenuti di phishing ai danni di servizi webmail e dove il phisher ha lasciato disponibili anche i differenti KITS in formato zip.


Insieme ai kits troviamo naturalmente anche i vari subfolders che ospitano i rispettivi cloni


 di cui vediamo alcuni screenshot:




Il caso  AOL che merita un discorso a parte in quanto propone 


ma anche


con evidente tentativo di furto di credenziali di carta di credito a cui segue redirect finale su reale sito AOL


Dal punto di vista piu' tecnico i vari kit sono files zip


i cui contenuti mostrano la struttura di folders del relativo clone di phishing

In dettaglio ecco i contenuti del KIT Hotmail


con in evidenza il codice php che esegue l'invio al phisher delle credenziali di login sottratte
Come detto il caso AOL e' piu' complesso 


presentando codice  con acquisizione anche dei dati di carta di credito 


Gli indirizzi mail a cui vengono inviati i dati di accesso e , nel caso AOL, dei dati di carta di credito, non sono gli stessi ma variano a seconda del diverso servizio webmail clonato.

Edgar

Massive phishing against PayPal (16 febbraio)

Come e' noto, PayPal e' sicuramente una delle aziende piu' colpite da azioni di phishing.
Da analisi giornaliere di attacchi attraverso pagine clone a differenti banche ed aziende che offrono servizi in rete, si vede come una grande percentuale (forse quasi la meta' del numero di attacchi di phishing) sia riferita proprio  al noto servizio di pagamenti online. 
In  linea con questi dati, il phishing che esamineremo oggi assume caratteristiche da renderlo simile a quanto vediamo nella distribuzione di massa del malware, in particolare proprio perche' il notevole numero di questi cloni attivi PayPal rilevati, sembra avere fonte comune.
Questo particolare phishing PayPal si contraddistingue per la sua struttura  che vede coinvolti gli stessi nomi di folders , la presenza quasi sempre in chiaro del kit di phishing con uguale nome e il tipo di layout di pagine clone in lingua tedesca.

Ecco alcuni dettagli:

Questa la pagina in lingua tedesca comune a tutti i siti rilevati ed analizzati che hostano il phishing PayPal :


A sua volta tutti i siti compromessi che ospitano il phishing mostrano questa particolare struttura di folders:


Si tratta di folder dal nome formato da sequenza numerica (che pare random) che ospita a sua volta sempre 3 folders dai nomi, in tutti i casi visti, sempre uguali (ancora sequenza  numerica)
E' presente inoltre un file TAR che e' il kit di phishing.
Detto kit contiene i 3 folders che vediamo anche online


cosa che conferma l'utilizzo dei contenuti del file TAR proprio per creare i 3  folders contenenti tutti il fake sito PayPal e che spiega il perche' dei nomi sempre uguali rilevati nei siti compromessi esaminati.
Interessante come analizzando altri siti simili si noti sempre la seguente struttura e la presenza del kit di cui sopra.
Ad esempio ecco questo un altro sito compromesso che mostra date attuali per i tre folders inclusi.


Stranamente parrebbe che i phishers non si siano preoccupati di nascondere i contenuti del sito fake PayPal ed abbiano lasciato 'sul posto” anche il relativo KIT.
All'interno dei 3 folders presenti nel kit notiamo un notevole numero di files e tutti in data recente


Interessante anche  presenza di codici php che mostrano un sorgente piu' complesso rispetto a quelli gia' visti in passato.

Una ricerca in rete mostra come la quantita' di siti compromessi che ospitano identica struttura di folders ( con uguali nomi ) sia veramente notevole.


Si tratta di decine di siti tuttora perfettamente attivi, tra cui alcuni IT rilevati in questi giorni che hostano, in folders da nomi identici, gli stessi cloni PayPal.

Il fatto che il kit sia presente ed uguale in tutti i casi analizzati puo' voler dire che lo stesso sia stato distribuito in maniera estesa in rete, ma, il fatto che i contenuti siano gli stessi per tutti i kit online, potrebbe significare anche la medesima  'gestione' per tutti i phishing PayPal attualmente attivi con questa particolare struttura.

Edgar

mercoledì 13 febbraio 2013

Distribuzione malware BlackHole attraverso particolare mail di spam ai danni di utenti IT della rete (13 febbraio)

In alcuni post precedenti abbiamo visto come tramite siti compromessi (molti anche IT) si cerchi di redirigere il visitatore su pagine che contengono i codici exploit BlackHole, ma un altro mezzo molto efficace e' pure quello di mails di spam con link al codice malevolo.
Interessante e' quindi la struttura di una mail ricevuta oggi,  in quanto evidenzia sia la lingua italiana per il messaggio e anche per l'allegato codice htm (quindi mail diretta a utenti internet italiani)  ma anche mail particolare per il doppio tentativo  (allegato + link) di redirigere chi riceve il messaggio a pagina con codice BlackHole exploit.

Vediamo alcuni dettagli:

Questa la mail


dove notiamo un allegato htm (in pratica una pagina web con iframe) e un link a sito che ospita codice simile a quello dell'allegato.
L'header in mail punta a


E' evidente che ci sono due diverse possibilita' per tentare di far seguire il link ad exploit

1 – cliccando sul  link presente nel messaggio
2 – cliccando sull'apparentemente innocuo allegato dal nome ingannevole LEGGERE.htm
In particolare un click sull'allegato porta alle apertura nel browser di questa semplice pagina


con la presenza di iframe che redirige a


che linka a sua volta al php ospitato su (hoster gia' utilizzato in passate distribuzioni BlackHole – notare il nome che ricorda proprio una nota categoria di malware )


Il php e' costituito da codice offuscato


Allo stesso codice php possiamo pero' anche arrivare cliccando sul link in mail  (ecco perche' si scriveva di una doppia possibilita' di compromettere il computer di chi ricevesse la mail di spam pericoloso)
L'unica differenza che il redirect avviene tramite sito on-line e non da codice allegato eseguito in locale.


Il codice php, o meglio l'url relativa sono visti da servizi di scansione online come


cosa che conferma la pericolosita' dei links proposti in mail.

In definitiva, anche se il testo in italiano e' abbastanza confuso, specialmente nella parte relativa al link presente nel messaggio, potrebbe facilmente accadere che chi riceve la mail   clicchi sull'allegato LEGGERE.htm che a prima vista puo' sembrare un innocuo codice di pagina web.

In relata' si verrebbe linkati in automatico a codice exploit BlackHole con tutte le conseguenze del caso, se presenti le vulnerabilita' sfruttabili dal malware.

Come curiosita' evidenzio che una ripetuta analisi con sito di  scansione online della pagina con codice PHP, mostra non rilevare, dopo un primo positivo esito, il codice malware ma indica una pagina priva di contenuti, cosa associabile quasi certamente ad una verifica eseguita dal malware BlackHole sull'IP  del visitatore.


Ecco infatti, alcune delle caratteristiche del kit BlackHole exploit pubblicate in un precedente post. Si tratta di una sorta di presentazione delle varie caratteristiche del KIT malware proposta da chi distribuisce BlackHole.

Alla voce “sicurezza” (intesa come sicurezza da analisi esterne del codice malware leggiamo)

…...........  Completamente aggiornata la "Sicurezza"
a) la possibilita' di bloccare il traffico senza referer (si consiglia di tenere sempre ON)
b) la possibilita' di vietare referer inutili
c) la possibilita' di vietare tutti i referer ad eccezione di alcuni
d) la possibilita' di vietare i bot …....
d) la possibilita' di vietare rete TOR........  (si consiglia di tenere sempre ON) 
ecc.........

 cosa che dimostra come tentativi di evitare analisi del malware siano ben presenti.

Dal punto di vista di un riconoscimento delle pagine e dei codici malevoli visti ora, una analisi Virus Total mostra, almeno al momento, un risultato praticamente nullo rendendo cosi' ancora piu' evidente i possibili pericoli di questa ennesima distribuzione di spam pericoloso.

Edgar

giovedì 7 febbraio 2013

Siti IT compromessi. Una odierna azione di 'mass defacement' (7 febbraio)

Questa mattina (ora thai) abbiamo in rete, ai danni di siti .IT, quella che appare essere una tipica ed estesa azione di 'mass defacement' che colpisce piu' di 70   siti hostati su


ma anche su altro IP appartenente sempre al medesimo hoster.


Questo un report relativo ad uno degli indirizzi IP colpiti


con una elevata percentuale di homepages sostituite da 


Si tratta dei consueti 'proclami' collegabili ad hackers turchi, che in questo screenshot vedono preso di mira un sito comunale IT

Altro report relativo a diverso IP ma sempre nello stesso range presenta


con identica alta percentuale di siti defaced anche se il numero dei siti hostati e' piccolo.
Una analisi degli headers di alcune delle homepages compromesse mostra


e per altro IP


con evidente riferimento a poche ore fa per l'azione di mass defacement.

Chiaramente essendo eseguito il defacement  probabilmente in orario notturno e rilevato alle 4.30 AM italiane (per via del fuso orario Italia -Thailandia con differenza di 6 ore) si spiega anche come al momento siano ancora molti i siti compromessi presenti ON-line.

Edgar

martedì 5 febbraio 2013

Siti di scuole IT compromessi (5 febbraio)

La distribuzione di links a siti di dubbia affidabilita' si avvale spesso di links proposti ai motori di ricerca attraverso siti compromessi con l'inclusione di codici che attivano, se la pagina e' visitata dal bot del motore di ricerca, centinaia di collegamenti a pagine con contenuti porno, vendita pharmacy, vendita di merce contraffatta ecc...
Inoltre come succede spesso in questi casi se chi vuole distribuire i links trova vulnerabilita' presenti in uno o piu' siti sul medesimo indirizzo IP e' probabile che approfittera' della cosa includendo i codici malevoli su molti dei siti presenti a quell'indirizzo IP.

E' il caso di tutti o quasi i siti di Istituti scolastici IT presenti su IP


che come vedremo da un reverse IP e successiva analisi mostrano essere compromessi.
Ancora una volta i codici inclusi oltre che a gestire i links 'aggiunti' alle pagine ne attivano la visualizzazione 'solo' a chi accede alle stesse con 'User Agent' di motore di ricerca mentre per gli accessi con user agent di comune browser la pagina caricata e' visualizzata normalmente, senza mostrare le centinaia di links.

Questo  il sito scolastico come viene visualizzato utilizzando User Agent  GoogleBot


con,  nella parte bassa della pagina, molti link con testo di riferimento che ritroveremo poi nelle ricerche on-line. 


Per evidenziare meglio la quantita' dei link proposti ecco la visione complessiva della homepage


Come si diceva, facendo un reverse IP, si trovano altri siti scolastici al medesimo indirizzo, con uguali links inclusi:


ed anche


ed ancora 


E' probabile che detti links, che al momento parrebbero essere non piu' attivi, rimangano nelle pagine per parecchio tempo in quanto per un visitatore e per chi gestisce i contenuti del sito, i links risultano nascosti.
Resta comunque il fatto che questo genere di attacco dimostra la presenza di  vulnerabilita' sfruttata per compromettere quanto ospitato su questo indirizzo IP, vulnerabilita' che potrebbe essere nuovamente usata in un prossimo attacco.

Edgar