domenica 30 giugno 2013

'Massive action of Pharmacy Hack' ai danni di un grande numero di siti su server di P.A. Italiana.(30 giugno)

L'hacking di siti web singoli o di interi server, come vedremo ora, allo scopo di diffondere links a pharmacy e' sicuramente una delle piu' diffuse attivita' illecite rilevabili in rete.
La cosa non sorprende se si pensa all'enorme 'giro di affari' legato alla vendita on-line di medicinali.
L'European Alliance for Access to Safe Medicines (EAASM) sul suo sito pubblica dettagli (anche in lingua italiana) sul commercio on-line dei farmaci e precisamente sulle Farmacie in rete scrive

Farmacie in linea
Su Internet vi sono numerose farmacie legittime. Tuttavia vi si puo' trovare anche un numero crescente di aziende che operano illegalmente ma che, all'apparenza, sono rispettabili e legittime. Spesso queste farmacie in linea vendono medicinali contraffatti o di bassa qualita' a chiunque sia disposto a pagarli, con o senza ricetta. Le farmacie in linea illegali che pretendono di essere farmacie legittime possono mettere a rischio la salute dei pazienti.
L'acquisto di medicinali in linea aumenta notevolmente il rischio di esposizione ai farmaci potenzialmente letali, non autorizzati, contraffatti o di bassa qualita'. Questi medicinali, anche se sono originali, possono essere stati riconfezionati, immagazzinati o trasportati in modo errato o possono venire forniti con il foglio illustrativo in una lingua straniera. Tutti questi fattori possono confondere i pazienti e fare si che questi ultimi non assumano le medicine prescritte nel modo corretto.

Per maggiori dettagli rimando a  http://www.eaasm.eu/counterfeit-medicines,it

Veniamo al caso odierno che mostra come una tipica azione di hacking sia stata portata a termine nei riguardi non di un sito ma praticamente di tutti i siti Comunali presenti su server con whois


Attraverso script Autoit


si sono scaricati i sorgenti delle homepages i cui indirizzi sono stati ottenuti   da un reverse IP relativo al server colpito, provvedendo al momento dell'acquisizione a forzare l'user agent come Googlebot
Il risultato e' un buon numero di siti comunali che presentano codice incluso costituito da termini di pharmacy e relativi links.


Visivamente la pagina home de siti compromessi (ma non solo la home risulta essere colpita) se caricata nel browser senza User Agent Googlebot attivo mostra normale layout


mentre ecco come appare se l'user agent e' quello relativo a Googlebot


ed in dettaglio.


In pratica vediamo come nel source siano presenti centinaia di links a pharmacy


che il motore di ricerca andra' ad indicizzare

Ancora una volta si assiste all'effetto collaterale di Google che marca il sito nei risultati di ricerca come probabilmente compromesso


La cosa non sarebbe molto rilevante se tale risultato si ottenesse tramite una ricerca con nome del comune piu' termini di pharmacy.

Purtroppo non e' cosi, visto che anche una ricerca del tutto 'normale' senza specificare nessun riferimento a pharmacy, propone come primo risultato il nome  del Comune associato a distribuzione di pharmacy ma, cosa ancora piu' rilevante, molti risultati di ricerca legittimi (riferiti ad attivita' del comune) sono marcati da Google con l'avviso “This site may be compromised.”, classificando il sito stesso come compromesso e quindi con, al limite, possibili rischi per chi lo visitasse.



Edgar

sabato 29 giugno 2013

Siti IT compromessi. Continua la 'distribuzione” di links a pharmacy.(29 giugno)

Si tratta di links, quasi sempre nascosti, che puntano a pagine o siti di vendita di medicinali online (soprattutto di viagra e derivati).
In alcuni casi associata alla vendita di medicinali abbiamo links a siti di vendita software di dubbia provenienza o links a siti di gioco d'azzardo online.


La tecnica utilizzata e' quella di includere i collegamenti a pharmacy all'interno di siti legittimi che vengono compromessi per ottenere links visibili solo dal bot del motore di ricerca e non da chi visita il sito normalmente.
Lo scopo e' sempre quello di creare il maggior numero di 'riferimenti al sito di pharmacy quando si effettua una ricerca in rete.

Vediamo alcuni attuali casi attivi ed analizzati forzando l'User Agent del browser come Google Bot


In dettaglio verranno proposti:
uno screenshot della della pagina web colpita con, se presenti, riferimenti espliciti a pharmacy
un whois del sito
il dettaglio del source html
uno screenshot del sito di pharmacy linkato

L'odierna ricerca ha riguardato siti su dominio IT appartenenti a PA e siti di Istituti Scolastici.
Chiaramente il fenomeno di inclusione di links a pharmacy colpisce siti anche non IT, e non riguarda evidentemente solo siti di P.A. o scuole, ma la selezione si e' resa necessaria considerato che il numero totale dei siti compromessi e' complessivamente (domini IT e non) molto elevato (migliaia di casi).

Ecco i dettagli:

Il sito 


con whois


propone un source che mostra


Il sito


con whois


propone un source che mostra


e linka a questa pagina di pharmacy attualmente online




Il sito


con whois


propone un source che mostra


e linka a questa pagina che a sua volta contiene  links a pharmacy ed e' attualmente online





Il sito


con whois


propone un source che mostra


e linka a questa pagina di pharmacy attualmente online




Il sito


con whois


propone un source che mostra


e linka a questa pagina di pharmacy attualmente online




Il sito (notare i termini di pharmacy che compaiono a top pagina quando attivo user agent Google bot)


con whois (non IT ma USA)


propone un source che mostra


e linka a questa pagina di pharmacy attualmente online




Il sito  (notare i termini di pharmacy che compaiono a top pagina quando attivo user agent Google bot)


con whois


propone un source che mostra


Edgar

giovedì 27 giugno 2013

Phishing Vodafone e WIND (27 giugno)

Ecco ritornare, dopo quello TIM di ieri, il phishing Vodafone attraverso questa mail


sempre con layout e codice simile alle precedenti e con header


Il clone e' ospitato su sito compromesso con whois


attraverso la creazione di sub-dominio dal nome ingannevole che, tra l'altro, fa riferimento a WIND e non a Vodafone
Questo si spiega con la presenza sul medesimo indirizzo anche di un clone WIND oltre che quello Vodafone linkato dalla mail


Seguendo quanto gia' noto analizzando il codice del KIT probabilmente usato anche in questo caso


entrambi i cloni proposti oggi, se il numero di carta comprende come cifre iniziali quelle identificative di PosteIT o Lottomatica, redirigono dopo le pagine clone Vodafone o WIND anche su successiva fake pagina PosteIT o Lottomatica.
Lo scopo e' quello di acquisire ulteriori dettagli sulla carta usata.
Nel caso i codici non fossero quelli visibili nel source del KIT si passa a pagina Verified by Visa.

Non ripropongo ulteriori dettagli e screenshots in quanto uguali a quelli postati QUI e QUI.

Si tratta quindi certamente dell'uso dello stesso KIT di phishing anche se il phisher odierno potrebbe essere diverso dai precedenti visto l'uso di sub-dominio dal nome ingannevole creato su sito compromesso e non su sito registrato ex-novo come in quasi tutti i casi simili analizzati di recente.

 Edgar

mercoledì 26 giugno 2013

Phishing TIM (26 giugno)

Riproposto in rete un phishing TIM attraverso questa mail


dal caratteristico layout con presenza di code in base64


che decodificato evidenzia logo TIM linkato da sito IT


Notate anche un link a gif su dominio PayPal gia' presente altre volte.

Gli IP nell'header mostrano diversi valori ma e' presente anche un IP number UK sempre del medesimo provider gia' visto.


Il clone di phishing e' simile a precedenti TIM 


con pagina clone Verified by VISA 


che riporta sempre la medesima data vista in precedenti phishing (probabile stesso KIT e riutilizzo dei layout gia' usati nelle scorse settimane anche per Vodafone e WIND) 


Abbiamo nuovamente anche la presenza di pagina clone Lottomatica (anche se la stessa non parrebbe essere attiva, )


cosi' come pagina clone PosteIT


Le pagine sono comunque 'raggiungibli' digitando nella barra degli indirizzi il percorso visto in precedenza su KIT TIM.


Per la spiegazione della presenza dei cloni PosteIT e Lottomatica rimando a questo recente post.

Si tratta probabilmente del medesimo KIT gia' molto utilizzato nelle ultime settimane in una intensa 'campagna' di phishing ai danni di compagnie telefoniche italiane. (vedi i numerosi precedenti post al riguardo)

Edgar