lunedì 29 aprile 2013

Moodle. Un ritorno al passato ma con nuovo malware (29 aprile)

Circa quattro anni fa pubblicavo diversi post al riguardo di ricerche in rete che producevano risultati che puntavano a profili utente Moodle creati appositamente per la diffusione di malware, pharmacy, fake AV ecc......

In particolare nel post datato 7 ottobre 2008 (qui il mirror Wordpress con le immagini rimosse dall'originale per motivi di spazio disco blogspot) si leggeva...

Moodle (acronimo di Modular Object-Oriented Dynamic Learning Environment) e’ una piattaforma web open source, scritta in PHP, per l’e-learning,( Course Management System).
E’ stato progettato per aiutare gli insegnanti e gli educatori a creare e gestire corsi on-line con ampie possibilita’ di interazione tra studente e docente e la sua licenza libera e la progettazione modulare consentono alla comunita’ di sviluppare di continuo funzionalita’ aggiuntive. (fonte Wikipedia)

ed ancora ….

…......  vengono creati profili personali fasulli con il solo scopo di inserire codice che propone immagini e links a siti in preferenza cloni porno di Youtube con allegato il solito malware sotto forma di codec video o setup di player multimediale....
…....al momento non sembra che ci siano particolari restrizioni nel visualizzare questi profili personali ma in ogni caso sembrerebbe che la creazione di un nuovo account debba passare per una registrazione che richiede l'autenticazione da parte dell’amministratore del sito.............. ( nel caso odierno (29 aprile 2013)  la conferma e' solo una mails mentre per accedere al corso occorre un codice fornito dall'insegnante...)

Inoltre in altro post (qui il mirror Wordpress con le immagini) riferivo di quanto veniva scritto sul sito di moodle.org/security/ al riguardo dello spam di links e come evitarlo

…........... da quanto si legge sul sito Moodle.org, sembra che con pochi accorgimenti ed utilizzando le ultime versioni di Moodle il problema dei falsi profili potrebbe essere contrastato con successo.
Ecco una parziale traduzione di un recente ed interessante post al riguardo che spiega in poche righe ma in maniera chiara il problema e una delle possibili soluzioni

***********************************************************************
Come prevenire lo spam di un profilo utente Moodle

Uno dei piu' comuni problemi di sicurezza che vediamo su Moodle e' lo spam dei profili utente.
Lo spam di un profilo utente e' un problema che deriva soprattutto dalla combinazione di queste due impostazioni Moodle:

1. L'autenticazione tramite email e' abilitata, consentendo alle persone di auto-creare un account sul sito
2. L'impostazione di amministrazione 'forceloginforprofiles' e' disattivata, consentendo a chiunque di vedere il profilo utente.

Alcune vecchie versioni di Moodle hanno queste impostazioni come predefinite.

Il problema con queste impostazioni e' che gli 'spammer's possono creare una pagina sul sito Moodle che si puo' riempire con i link e immagini (di solito links porno siti di pharmacy ecc...) .
Questo inserimento di links viene utilizzato per forzare le ricerche ad es. di Google ed indicizzare i links presenti nelle pagine profilo Moodle ai primi posti di una ricerca in rete.
Si noti che questo contenuto di falsi profili utente e' stato progettato per essere visualizzato da una ricerca in rete, e di solito i falsi profili utente non sono disponibili all'interno del sito Moodle (gli amministratori spesso non sono neanche a conoscenza che il loro sito sta avendo questo problema).

Si consiglia a tutti gli amministratori di Moodle di verificare queste impostazioni Moodle ed assicurarsi che i loro siti non siano vulnerabili allo spam dei profili.
L'autenticazione tramite e-mail deve essere disabilitata se non necessario, e se non possibile ,anche 'forceloginforprofiles' dovrebbe essere attivato.

Si consiglia inoltre di utilizzare il tool Moodle anti-spam per eseguire la scansione del sito per trovare e cancellare eventuali profili colpiti ............

************************************************************************

Maggiori dettagli su :http://moodle.org/security/ dove si trovano  aggiornati al 2013 numerosi 'Security Announcements'

Ritornando al caso odierno ritroviamo quasi tutto quello visto appunto anni fa e cioe' una ricerca di rete che linka a falsi profili Moodle su sito con dominio IT relativo a sito di scuola di insegnamento della lingua inglese.

Questi i risultati di una ricerca Google che evidenzia alcuni importanti particolari:


1) il dominio IT del sito che ospita i folders Moodle
2) il fatto che si tratti di un 'corso' forse solo di test come si nota dalla URL /test/moodle 
3) il numero di id user a cui fa riferimento la pagina indicizzata /user/view.php?id=414 (in pratica diverso ID = differente profilo. Quindi e' possibili visionare i vari utenti semplicemente cambiando nella URL in numero dell'ID)
4) il fatto che si tratti di indicizzazione recente da parte del bot del motore di ricerca  cioe'  7 hours ago

Ecco come si presenta la pagina del fake profilo utente Moodle


dove notiamo sia il link a sito che propone malware (dopo alcuni redirects) ed una parte relativa a del testo utile per produrre risultati di ricerca e vari links....


Rimanendo sempre all'applicazione Moodle si puo' affermare che la creazione di nuovo user e' abilitata senza restrizioni e propone form con possibilita' sia di modificare l 'immagine proposta (es ricordo pagine Moodle viste in passato con interi screenshot di pharmacy, immagini porno ecc....) e dove possiamo inserire testo che poi apparira' nel profilo creato.


In particolare, l'attuale sito Moodle analizzato, anche se non prevede che chi si registra possa accedere al corso  proposto (in questo caso dal nome TEST ) permette comunque senza restrizioni di creare un nuovo profilo utente ed anche di visualizzarne i contenuti a chiunque interroghi le pagine da browser anche senza essere loggato al proprio account Moodle. (cosa che chiaramente contrasta con quanto suggerito dalle note di sicurezza pubblicate su Moodle.org come scritto in precedenza).

Veniamo adesso alla parte relativa alla distribuzione del malware:

Il link presente nella pagina del profilo utente 


punta tramite redirect a sito su  IP


In maniera random vengono quindi proposte alcune pagine che non sono certamente una novita' in quanto viste da anni nella distribuzione di malware tramite tentativo di far installare falsi plugins o player video.

Abbiamo questo layout


ma anche questo 


Quello che e' nuovo e' invece l'eseguibile proposto (qui vediamo alcuni samples scaricati)


che una analisi VT mostra quasi per niente riconosciuto dai piu' noti softwares AV:


Da una verifica dei codici hash si nota come in realta' , anche se con nomi differenti , ci troviamo di fronte sempre al medesimo file:


Chi cliccasse sule immagini presenti fatte passare come video da visionare, scaricherebbe quindi sul proprio PC un eseguibile malware che se mandato in run non sarebbe probabilmente rilevato dal software antivirus installato, con tutte le conseguenze del caso.

Per completezza si puo' vedere che modificando l'ID utente Moodle compaiono altre pagine anche in data piu' recente 


e non solo con links a malware ma anche ad altri siti comunque di dubbia affidabilita'

Edgar

domenica 28 aprile 2013

Ancora link malware attraverso mail di spam (28 aprile)


Si tratta di mail ricevuta da poco che ripropone il classico layout, noto da tempo, con link a file ZIP contenente malware con codice eseguibile mascherato da lunga serie di caratteri underscore nel nome del file.

Questa la mail dal testo al limite del comico ….. Il pacco e stato arrestato.....


e che presenta link a file zip hostato su sito compromesso e con whois USA

Una analisi Virus Total rivela un buon riconoscimento del malware (considerato che sono alcuni giorni che e' presente in rete) e indica come siano stati usati differenti nomi, sempre in lingua italiana, per il medesimo file dai contenuti malevoli.


Edgar

venerdì 26 aprile 2013

User Agent = GoogleBot. (26 aprile)

Ecco alcuni attuali e 'particolari' layout di pagina che si vengono a creare navigando in rete su alcuni siti .IT ed avendo attivo un User Agent come Google Bot



Sito previsioni meteo di Provincia Italiana


Altro sito di  Provincia  IT


ed ancora, un portale di Provincia Italiana (notate date attuali)



Questo a fronte di ricerche in rete che danno risultati inequivocabili nei contenuti di redirect come


Anche se  l'inclusione automatica di termini di pharmacy (od altro) provoca in molti casi una netta alterazione de layout originale fortunatamente,  senza User Agent relativo a Bot di motore di ricerca, i contenuti di pharmacy sono nascosti al visitatore ed i layouts del tutto normali.
Lo svantaggio di questo (contenuti invisibili)  e' comunque quello che, in molti casi, chi gestisce ed amministra il sito colpito, potrebbe non rilevare i codici inclusi ed il sito rimanere a supporto della distribuzioni di Pharmacy per parecchio tempo.

Edgar

Numerose azioni di 'mass defacement' ai danni di siti IT (26 aprile)

Nelle ultime ore si registrano diverse azioni di 'mass defacement' ai danni di siti IT.

Ecco alcuni dettagli:

Questo un defacement che colpisce attualmente quasi 70 siti hostati su


Come si vede dal report generato tramite script Autoit


abbiamo due diverse pagine di hacking che sostituiscono le homepages dei siti colpiti e precisamente 


e


Una analisi degli headers mostra che si tratta di azione recente


cosa che spiega  come, al momento, siano ancora molti i siti compromessi presenti ON-line.

Altra azione di 'mass defacement' vede piu' di 60 siti hostati su


che presentano la homepage sostituita da


Anche in questo caso un report Autoit mostra l'elevato numero di siti coinvolti.


Edgar

giovedì 25 aprile 2013

Phishing webmail hostato su sito compromesso di P.A. Italiana (25 aprile)

Come visto in recenti post sono parecchi i siti IT che per differenti scopi vengono compromessi.
E' il caso ad esempio di supporto a phishing come in questo attuale sito comunale IT sviluppato in 


e che presenta una grande quantita' di phishing ai danni di vari servizi webmail. 

Naturalmente insieme ai cloni ed ai relativi KITS di phishing sono stati uploadati sul sito diversi tools di hacking e di supporto al phishing come ad esempio un codice php mailer.
Ecco alcuni files contenuti nel folder usato dai phishers:


Ecco alcuni dettagli che mostrano l'ampio numero di files uploadati e i vari phishing presenti:

Questo il clone Google Drive con accesso multiplo a servizi di webmail


dove, come visto molto in passato, viene proposto un form personalizzato a seconda del servizio webmail scelto.

Avremo quindi login fake ad Hotmail


Yahoo


Gmail


AOL


ed uno generico login fake di accesso mirato a chi utilizzasse differente servizio di webmail non presente tra quelli citati.


Oltre a questo, analizzando in dettaglio i contenuti del folder usato dai phishers troviamo questo clone Wiindows Live – Hotmail 


ma non solo...

Appare infatti presente un ulteriore clone di accesso a webmail che parrebbe essere associato a phishing DHL (nota azienda spesso colpita dai phishers) 


con la presenza anche  di questo fake form sempre legato a DHL:


Come se non bastasse si nota pure un subfolder che contiene a sua volta un clone di phishing webmail associabile a Remax


Remax e' una azienda che si occupa del mercato immobiliare USA ed e' sempre molto sfruttata dai phishers per gestire decine di pagine clone di acquisizione credenziali di accesso a webamail.

Questo un esempio tratto da Phishtank


Come detto, i phishers non si sono solo limitati a creare i cloni sul sito compromesso ma hanno anche uploadato shell php e mailer


Tra l'altro uno dei codici php a supporto del phishing


 mostra un riferimento ad altra url che parrebbe essere pagina clone di fake form ai danni di Global Logistics sempre con il medesimo layout anche legato a phishing Remax.


Edgar

Ancora phishing WIND (25 aprile)

Segnalatomi sul DB Segnalazioni  da un lettore del blog , che ringrazio, questo phishing WIND


simile ad altri phishing gia' visti in passato sempre ai danni della nota azienda italiana di telecomunicazioni.
Attraverso l'offerta di forti sconti ottenibili con una ricarica online si tenta in realta' di acquisire le credenziali personali relative alla carta di credito.
Il clone e' hostato su server USA (Amazon web services)


mentre queste alcune delle pagine proposte


e


ed anche pagina di richiesta password 'Verified By Visa'


per poi venire rediretti, come al solito, sul reale sito WIND.


Edgar

martedì 23 aprile 2013

Ancora siti compromessi IT che ospitano links a pharmacy o vendita di software di dubbia provenienza (23 aprile)

Sempre molti i siti IT compromessi allo scopo di generare risultati di ricerca in rete che puntano a siti di pharmacy, vendita di noto software ma a basso costo ecc....
Come trattato ampiamente sul blog, ad esempio in questo recente post, i siti vengono compromessi attraverso l'inclusione di codici che generano nelle pagine web riferimenti di testo e links anche automatici (redirects), a siti di vendita online di medicinali ecc....
Anche se, quasi sempre, si tratta di links nascosti ai visitatori del sito e presenti solo in ricerche di rete con specifiche parole chiave il danno che ne deriva puo' essere rilevante come ad esempio la comparsa di avvisi da parte del motore di ricerca che identifica il sito come poco affidabile.
La cosa che piu' sorprende e' comunque il risultato di una ricerca odierna che, anche filtrata per time di indicizzazione (es. ultima ora) mostra decine di nuovi siti IT probabilmente compromessi da poche ore.

Tra i diversi casi odierni cito ad esempio un attuale sito di provincia italiana,  hostato tra l'altro su dominio .gov.it dominio che di solito non e' vittima di questo genere di attivita' di pharmacy.

Si tratta di sito con whois


creato e gestito con l'uso di


e di cui vediamo la homepage con parte del codice sorgente 


I link presenti sono al momento attivi e puntano a siti compromessi, per lo piu' con whois USA, che a loro volta propongono testo e links a pharmacy ecc.... (es questo sito di citta' USA)


Una ricerca supportata da script Autoit ci mostra come non solo la homepage ma praticamente tutto il sito (e sono veramente tante pagine) sia stato indicizzato da Google associandolo a termini di pharmacy e di vendita sofware a basso costo.


Ecco come si presenta un report sempre generato dallo script Autoit dove una parziale vista ci mostra centinaia di pagine nei risultati di ricerca e con source che presentano termini di pharmacy ecc....


In conclusione ancora siti IT compromessi, e di una certa' importanza ( non semplici pagine di sito personale magari create per hobby), cosa che dimostra come ci siano in rete  vulnerabilita' rilevanti che potrebbero essere anche usate per azioni di hacking  ben piu' pericolose.  

Edgar