venerdì 8 marzo 2013

Fake login Webmail Microsoft con alcuni interessanti dettagli (8 marzo)

Il tentativo di furto di credenziali di accesso a servizi Webmail e' sempre piu' diffuso e rivela, a volte, con quale cura venga gestito questo genere di phishing.
Il caso esaminato oggi mostra come diverse tecniche usate dai phishers (redirect, nomi ingannevoli di dominio, uso di riferimenti a servizi legittimi di verifica sicurezza in rete, layout ingannevoli ecc.... ) possano essere usate in combinazione tra loro al fine di creare pagine di login anche strutturate in modo da eludere eventuali verifiche antiphishing sui codici utilizzati (offuscamento dei sources) .
Ecco alcuni dettagli che vedono coinvolto un sito IT compromesso che serve come redirect al sito finale di phishing che, come vedremo, risulta chiaramente compromesso presentando pagina di hacking.

Questo il sito IT


con whois


che mostra incluso un codice php che redirige al phishing. (layout anonimo senza riferimenti a  Microsoft)

Il fake login, che vediamo in dettaglio


una volta acquisiti i dati propone questa pagina di conferma


Un whois mostra come il fake login sia ospitato su  IP


tramite sito compromesso (vedi pagina di hacking)


e sfruttando il quale si e' creato un sottodominio da nome ingannevole


Il riferimento a Microsoft risulta invece evidente eseguendo  una analisi del folder che ospita i contenuti di phishing denominato 'WEBMAIL_SERVER'


Quello che si nota e' la presenza, oltre che dei codici di login, anche di una pagina con testo e loghi Microsoft  e che vediamo tradotta sommariamente tramite servizio Google.


Si tratta probabilmente del testo che viene usato per giustificare la richiesta di login al servizio webmail Microsoft e che potrebbe essere o allegato in mail o comunque linkato da un fake messaggio di spam.
Osservando meglio il folder che ospita  i  codici di phishing notiamo anche come parecchi dei files presenti  siano  a coppie di due con nome identico tranne che per la stringa di testo .PreEnc


Proviamo ad aprire la coppia dei due files  relativi al testo fake che sollecita  l'accesso alla webmail ed otteniamo


Come si nota abbiamo identico layout di pagina.
Cosa ben diversa invece se analizziamo i sources


dove notiamo che c'e' una 'versione' in chiaro ed una versione 'offuscata' entrambe che restituiscono lo stesso contenuto di pagina web.

Se proviamo a decodificare il codice offuscato presente, otteniamo il medesimo codice della pagina web in chiaro.
In particolare il codice offuscato e' abbastanza complesso e come si vede da una sommaria analisi  contiene una funzione di decodifica offuscata che a sua volta serve per deoffuscare le altre parti del testo della pagina.


Ecco una sommaria visualizzazione di come opera il codice offuscato  e in particolare la funzione che a sua volta serve per deoffuscare l'altra parte del testo.



Inoltre il codice della pagina (anche quello deoffuscato) mostra come i loghi presenti vengano acquisiti da siti legittimi non legati direttamente al phishing.


La cosa forse piu particolare e quasi paradossale  e' che il logo Microsoft Digital Crimes Unit e' linkato da pagina Softpedia che descrive proprio uno Scam ai danni di Microsoft   dal titolo 'Cyber-Crime Department Phishing Scam Targets Microsoft Customers'.


ed in dettaglio


Il colmo e' infatti che i  phishers, stanno sfruttando una immagine con logo Microsoft che e' parte a sua volta di un articolo online che denuncia lo scam proprio ai danni dei clienti Microsoft.

Edgar

Nessun commento: