giovedì 18 dicembre 2014

ATTENZIONE abbiamo criptato vostri file con il virus CryptoLocker. Nuovamente attiva una distribuzione IT di malware del genere Ransomware (18 dicembre)

Nuovamente attiva online la distribuzione di malware Ransomware tramite fake mail e sito clone della nota azienda di spedizioni SDA ( SDA Express Courier e' un'azienda nata nel 1984 per operare nel settore delle spedizioni espresse nazionali, dal 1998 fa parte del gruppo Poste Italiane ed ha ampliato l'offerta nella gestione logistica, distributiva e per la vendita a distanza.(fonte Wikipedia))

Il malware denominato in modo specifico del tipo  Ransomware e' ormai noto da tempo.
Riporto comunque una breve descrizione 'dell'attivita'' svolta dal malware traducendo quanto appare sul sito   http://www.bleepingcomputer.com

…...... Quando il file eseguibile, fatto passare per documento riferito ad una spedizione che ci riguarda, viene cliccato, infettera' il computer ed iniziera' la scansione di tutti gli hard disk visibili per cercare i files dati presenti.
Nel momento che il malware rileva un file di dati supportato, questo  sara' criptato e verra' aggiunta l'estensione .encrypted al nome del file..........

I file di dati che verranno crittografati includono le seguenti estensioni:

* .wb2, * .psd, * .p7c, * .p7b, * .p12, .pfx *, * .pem, * .crt, * .cer, * .der, * .pl, * .py, *. lua, * .css, * .js, * .asp, .php *, * .incpas, * .asm, * .hpp, * .h, * cpp, * .c, * .7z, * .zip, * .rar, * .drf, * .blend, * .apj, * .3ds, * .dwg, * .sda, * .ps, * .pat, * .fxg, * .fhd, * .fh, *. dxb, * .drw, * .design, * .ddrw, * .ddoc, * .dcs, * .csl, * .csh, * .cpi, * .cgm, * cdx, * .cdrw, * .cdr6, * .cdr5, * .cdr4, * .cdr3, * .cdr, * .awg, * .ait, * .ai, * .agd1, * .ycbcra, * .x3f, * .stx, * .st8, *. ST7, * .st6, * .st5, * .st4, * .srw, * .srf, * .sr2, * .sd1, * .sd0, * .rwz, * .rwl, * .rw2, * .raw, * .raf, * .ra2, * .ptx, * .pef, * .pcd, * .orf, * .nwb, * .NRW, * .nop, * .nef, * .ndd, * .mrw, *. mos, * .mfw, * .MEF, * .mdc, * .kdc, * .kc2, * .iiq, * .gry, * .grey, * .gray, * .fpx, * .fff, * .exf, * .erf, * .DNG, * .dcr, * .dc2, * .crw, * .craw, * .cr2, * .CMT, * .cib, * .ce2, * .ce1, * .arw, *. 3PR, * .3fr, * .mpg, * .jpeg, * .jpg, * .mdb, * .sqlitedb, * .sqlite3, * .sqlite, * .sql, * .sdf, * .sav, * .sas7bdat, * .s3db, * .rdb, * .psafe3, * .nyf, * .nx2, * .nx1, * .nsh, * .nsg, * .nsf, * .nsd, * .NS4, * .ns3, *. ns2, * Myd, * .kpdx, * .kdbx, * .idx, * .ibz, * .ibd, * .fdb, * .erbsql, * .db3, * .dbf, * DB-journal, *. db, * .cls, * .bdb, * .al, * .adb, * .backupdb, * .BIK, * .backup, * .bak, * .bkp, * .moneywell, * .mmw, * .ibank, * .hbk, * .ffd, * .dgc, * .ddd, * .dac, * .cfp, * cdf, * .bpw, * .bgt, * .acr, * .ac2, * .ab4, *. DjVu, * .pdf, * .sxm, * .odf, * .STD, * .sxd, * .otg, * .sti, * .sxi, * .otp * .odg, * .odp, * .stc, * .sxc, * .ots, * .ods, * .sxg, * .stw, * .sxw, * .odm, * .oth, * .ott, * .odt, * .odb, * .csv, *. rtf, * .accdr, * .accdt, * .accde, * .accdb, * .sldm, * .sldx, * .ppsm, * ppsx, * .ppam, * .potm, * .potx, * .pptm, * .pptx, * .pps, * pot, * .ppt, * .xlw, * xll, * .xlam, .xla, * .xlsb, * .xltm, * .xltx, * .xlsm, *. xlsx, * .xlm, * .xlt, * .xls, * .xml, * dotm, * dotx, * .docm, * .docx, * .dot, * .doc, * .txt

Notate come nella lunga lista siano presenti praticamente tutti i generi di files dati, dai file database a quelli es. excel, testo, le foto in vari formati, i files compressi zip, i files di grafica  ecc.........
E 'importante sottolineare che verra' effettuata la scansione di tutte le lettere di unita' del computer, tra cui le unita' rimovibili, le condivisioni di rete, o anche Dropbox. 
In sintesi, se vi e' una unita' dati visibile dal PC questa verra' sottoposta a scansione per criptarne i files dati.
Interessante come il malware cerchi di eliminare eventuali 'Shadow Volume Copies' presenti onde evitare possibili restore dei contenuti.

Come vedremo poi, eseguendo per  test il file malware scaricato dalla rete attraverso il fake sito SDA, verranno anche creati 2 files (uno txt e uno htm) con le istruzioni per decriptare a pagamento i dati criptati dal Ransomware.

Vediamo ora alcuni dettagli del caso odierno:

Questo un esempio del layout mail tratto dal sito



L'attuale clone SDA e' linkato attualmente tramite redirect su dominio Est Europeo di cui un whois mostra data  recente di creazione (fine novembre)


Il clone SDA e' invece ospitato su hoster


ed con dominio creato solamente 3 giorni fa, cosa che dimostra che siamo di fronte ad una nuova distribuzione malware.


Ecco come si presenta il clone SDA dove troviamo a centro pagina un pulsante per scaricare il file relativo alla fake spedizione.



Confrontandolo con la home originale SDA


si vede la cura posta nel clonare il sito originale.

Particolarita' comune anche a casi di phishing un IP del visitatore su range non IT porta ad essere rediretti sulla home di Google (nel mio caso specifico ovviamente in lingua THAI)


Da notare la presenza del codice della fake captcha che in realta' e' costituito sempre dal numero '22558' che non cambia con successivi caricamenti della stessa.
Cliccando sul pulsante 'scarica' si passa a 


dove abbiamo anche un link diretto al file zip.


Come si vede, Il contenuto dello zip e' un eseguibile dal nome ingannevole che, nelle prime ore della sua diffusione, vedeva un basso riconoscimento da parte de i softwares AV


ma anche attualmente ci sono ancora diversi software AV che non riconoscono la minaccia.


Eseguendo il file si nota listando i contenuti del disco  come vengano generati oltre ai files criptati con estensione .encrypted anche i due file di 'istruzioni' 


che mostrano file htm


e file testo come


Notate l'indicazione della url della pagina dalla quale, a pagamento, sara' possibile ottenere la chiave per decriptare i files dati.

Qui vediamo la versione in lingua italiana del file htm di istruzioni


Una distribuzione Ransomware quindi attiva e abbastanza pericolosa vista la cura posta nel clonare il reale sito SDA per proporre il download dell'eseguibile malware, pagina che potrebbe trarre in inganno chi seguisse il link in mail.

Questo un link a  sito in lingua inglese con altri dettagli riguardo a malware Ransomware. http://www.bleepingcomputer.com simile a quello analizzato nel post.

Edgar

venerdì 28 novembre 2014

Gentile cliente Abbiamo tentato di consegnare il tuo articolo. Ennesima mail con allegato malware fatta passare, questa volta, per comunicazione FedEx (28 novembre)

Poche righe per descrivere l'ennesima distribuzione di malware attraverso allegato mail fatto passare per documento relativo a spedizione effettuata tramite il servizio offerto da Federal Express.


Come si vede, contrariamente agli ultimi casi esaminati abbiamo un lungo testo, scritto comunque in un italiano poco corretto.
Tra l'altro anche l'oggetto mail  non pare essere molto collegato ai contenuti del messaggio in quanto presenta solo 'Young, Tad S. agent company FEDEX'

In compenso nel testo risulta la data odierna in … “Abbiamo tentato di consegnare il tuo articolo il 28 novembre 2014, ... “ , cosa che dovrebbe aumentare la credibilita' della mail e che dimostra come lo spam sia attuale.

Uno degli IP presenti in header mail, quello di possibile origine del messaggio, parrebbe essere su range italiano


anche se le caratteristiche del testo in mail fanno piuttosto pensare a creatore del messaggio non italiano.

L'allegato e' un file .ZIP contenente un file eseguibile in formato .SCR. con data  odierna.


Questa volta chi gestisce lo spam malware non ha pero' provveduto ad aggiungere la doppia estensione fake al nome del file per farlo passare come documento in in formato PDF, di cui su scrive nel  testo mail …...Per scaricare la fattura commerciale, in formato PDF, necessario per la riconsegna, scaricare il file:…................

Tutto sommato quindi uno spam non molto curato nei dettagli il cui maggiore pericolo potrebbe venire per la maggior parte, dal quasi nullo riconoscimento dei contenuti malevoli nelle prime ore di distribuzione della mail


basso riconoscimento che anche dopo qualche ora dalla prima analisi Virus Total risulta comunque ancora molto ridotto.


Edgar  

mercoledì 19 novembre 2014

Pharmacy Hacking ai danni di sito di ASL (19 novembre)

Il fenomeno del 'pharmacy hacking' e' stato trattato molto spesso in questo blog e continua ad esserlo visto che si tratta forse della maggiore tipologia di hacking che colpisce siti IT anche se, in effetti, si stratta di azioni nascoste ai visitatori del sito colpito, e spesso anche di chi lo dovrebbe amministrare.
Lo scopo finale di queste 'inclusioni' di codice che generano pagine e links che puntano a pharmacy e' quello di creare il maggior numero di riferimenti a siti di vendita online di medicinali, per proporli al top dei risultati quando viene effettuata una ricerca in rete.
Per fare questo le inclusioni su siti compromessi generano quasi sempre pagine con links nascosti ai visitatori del sito legittimo, links che invece vengono 'visti' ed indicizzati dal motore di ricerca 
A riprova di questo si possono citare decine casi di siti compromessi rilevati da mesi se non da anni, che continuano a supportare pagine con links a pharmacy.
Altra particolarita' e' che quasi sempre andando ad analizzare i siti presenti sullo stesso IP di quello colpito ne troviamo (a volte in grande quantita') anche altri che presentano inclusione di pharmacy.

Relativamente al caso odierno vediamo adesso alcuni dettagli su una attuale ricerca in rete che evidenzia un sito relativo ad Azienda Sanitaria Locale italiana che ospita links a Pharmacy e che propone un doppio sistema di links che si discosta in parte da quanto visto diffusamente in rete.

Iniziamo con una ricerca in rete che trova riferimenti a termini di Pharmacy collegati a legittime pagine proposte dal sito ASL


Come si nota seguendo i links abbiamo pagine del tutto legittime nel layout proposto ( notare il testo dei risultati) e che vengono pero trovate quando inseriamo nelle keywords di ricerca termini di Pharmacy quali cialis, viagra ecc.....
Questa una delle pagine che apparentemente non mostra niente di particolare


 ma che rivela analizzandone il source


l'evidente  presenza dei links contenenti termini di pharmacy
In particolare i links non puntano, e questa e' la cosa non comune ad altri  casi, a pagine esterne al sito ASL ma ad altre pagine interne al sito che propongono


Si tratta di layout che comprende una immagine ed un link cliccabile a sito di vendita di medicinali online.
Da evidenziare come detta pagina faccia riferimento a diverso folder sul sito ASL, e l'immagine proposta sia ancora su altro folder


Chiaramente il motore di ricerca visitando il sito compromesso indicizzera' le pagine con inclusi i links ed i testi relativi a termini di Pharmacy viste prima


generando i collegamenti alle pagine con banner e link esterni come vediamo nel seguente screenshot


Cliccando sui risultati otterremo quindi 


da cui poi si verra' rediretti sui siti di vendita medicinali.

Da notare come attualmente cliccando sul pulsante 'more info' in realta' venga caricata questa pagina che parrebbe evidenziare che il dominio creato ad hoc per proporre Pharmacy sia 'expired' ossia scaduto come registrazione


 ma comunque si puo' pensare che in passato il link fosse attivo ed utilizzabile.
La riprova e' che se utilizziamo la cache di Google la pagina sul sito ASL risulta essere attiva da quasi un mese ma probabilmente anche da data precedente.


Come detto in premessa, di solito queste azioni di Pharma Hacking non si limitano a colpire un singolo sito ma possono interessare diversi domini sul medesimo host (IP).
A conferma di questo se effettuiamo una scansione dell'IP in questione 


tramite script Autoit, otteniamo un report che ben evidenzia diversi altri siti coinvolti in azioni di Pharmacy Hacking.


Questo,ad esempio, un source attuale


mentre, caso particolare, sembrano pure essere stati modificati dei documenti che il browser carica come PDF e che includono links e termini di Pharmacy.


Anche se dal punto di vista della sicurezza per chi visita i siti coinvolti, non parrebbero esserci evidenti problemi, in quanto links volutamente ben nascosti, e' chiaro che l'inclusione di codici di Pharmacy Hacking, mostra che direttamente  od indirettamente sono presenti vulnerabilta' che potrebbero essere utilizzate per scopi anche malevoli con links a malware o hosting di phishing.

Altro effetto collaterale forse meno evidente ma da non sottovalutare e' trovare la presenza del sito compromesso nei risultati delle ricerche in rete e quindi associabile a questo genere di spam.
Da rilevare poi che alcuni motori di ricerca potrebbero bannare il dominio in questione proponendo messaggi di allerta nei risultati delle ricerche.
L'hacking con contenuti di pharmacy infatti, anche se raramente coinvolge codici considerati malevoli, per cui Google non contrassegnera' il sito con l'avviso “questo sito potrebbe danneggiare il tuo computer”, potra' portare il motore di ricerca  ad proporre nei risultati il testo “questo sito potrebbe essere stato compromesso” ed eventualmente generare anche una email di notifica che informa che il sito sta violando le linee guida di Google. 
A questo punto ci potrebbero essere delle conseguenze sull'efficacia dei risultati di una ricerca in rete con possibile decrescita dei visitatori delle pagine colpite e/o del sito in generale.
Riprendersi dagli effetti nocivi di un pharmacy hacking porterebbe quindi a tempi lunghi per ripristinare correttamente  i risultati di una ricerca Google

Altri post sul blog riguardo al Pharmacy Hacking:

http://edetools.blogspot.com/2013/04/the-pharmacy-hack-alcuni-dettagli-e.html

http://edetools.blogspot.com/2013/05/massive-action-of-pharmacy-hack-ai.html

Edgar

venerdì 14 novembre 2014

In allegato fattura prenotazioni con carta di credito. Nuova ingannevole mail con link a malware (14 novembre)

Si tratta dell'ennesima mail che tenta di far scaricare ed eseguire un file con contenuti malware.
La particolarita' di questo nuovo caso e' la notevole 'fantasia' dei creatori del messaggio fake che, questa volta, non utilizzano il solito generico testo relativo a fotografie o documenti da visualizzare che ci riguarderebbero ma una prenotazione presso un Bed & Breakfast situato in una nota citta' italiana.

In pratica per convincerci a visionare la ricevuta della fake prenotazione, che avremmo pagato con carta di credito, e' stata creata questa mail dal testo ingannevole


che fa riferimento ad una attivita' di Bed & Breakfast realmente esistente e di cui vediamo la homepage


La mail riporta il reale indirizzo del  Bed & Breakfast cosi' come i numeri di telefono e la mail.
Anche il link visualizzato viene proposto come puntare al sito legittimo.

L'Ip presente nell'header mail e' romeno


mentre l'host del file zip e relativo file .scr eseguibile sono su sito compromesso 


con, pure in questo caso,  whois con IP romeno.


Il contenuto del file zip linkato in mail mostra il 'solito' file .scr (formato di file eseguibile usato anche recentemente QUI)


Il messaggio mail potrebbe quindi risultare molto ingannevole proprio per il fatto che ci si riferisce ad una reale attivita' commerciale
Di conseguenza chi riceve la mail potrebbe credere che che si tratti di contenuti legittimi, e cliccare sul fake documento presente nel file zip, con tutte le conseguenze del caso.

Fortunatamente, a distanza pero' ormai di ore dalla probabile messa online del malware, il riconoscimento dei contenuti pericolosi da parte dei piu' diffusi  softwares Av, risulta elevato.
Rimane comunque possibile che, nelle prime ore della 'distribuzione' delle fake mails, il file malware non fosse riconosciuto in maniera estesa, come accade spesso in questi casi.

Un effetto collaterale di questo genere di spam malware, se la mail e' stata distribuita estesamente, potrebbe anche essere un elevato numero di richieste di 'chiarimenti' da parte di utenti Internet nei riguardi di chi gestisce il Bed & Breakfast, coinvolto suo malgrado nello spam odierno.

Edgar  

mercoledì 5 novembre 2014

Foto. Inviato dal mio Nokia 6185i. Nuova distribuzione mail con allegato malware (5 novembre)

Nuovamente attivo lo spam malware ai danni di utenti IT della rete.
Si tratta di mail con allegato in formato .ZIP contenente file eseguibile .scr e, caso particolare, anche un file di testo .txt
Altra cosa rilevante gli headers mail che vedono la presenza di soli IP italiani.

Ecco i dettagli:

Questa la mail 


dal tipico layout per questo genere di spam malware, con piu' di un destinatario e con allegato ZIP
L'oggetto mail ed il testo del messaggio, come succede in questi casi, cercano di proporre il file allegato come una foto scattata utilizzando un telefono cellulare.

Interessanti gli headers mail che mostrano IP tutti italiani


Questo invece il contenuto del file ZIP


dove si nota sia il file  photo.scr ma anche, cosa insolita, un file .TXT 


il cui contenuto ribadisce che l'allegato e' una fotografia.

L'inclusione del file testo e' fatta  probabilmente per cercare di ingannare meglio chi ricevesse la mail ed indurlo a cliccare sul file eseguibile .scr.

Ricordo invece, che l'estensione .SCR e' stata associata da Microsoft a contenuti di Screen Saver ma poiche' il file .SCR e' a tutti gli effetti un eseguibile questo tipo di file e stato usato, specialmente in passato, come mezzo di diffusione di malware

Da notare che una analisi VT vedeva nelle prime ore della comparsa online della fake mail, un riconoscimento  estremamente ridotto dei contenuti malevoli.


Dopo qualche ora una analisi VT mostra un maggiore riconoscimento, anche se alcuni noti Av, al momento non evidenziano la minaccia.


Da notare come, ancora una volta, l'utilizzo di una semplice mail con allegato file eseguibile, potrebbe essere molto efficace nella possibile diffusione di malware, sia perche' nella sua semplicita' il testo del messaggio mail risulta essere estremamente ingannevole, ma anche a causa del basso riconoscimento AV, specialmente nelle prime ore di diffusione della fake mail.

Edgar

sabato 1 novembre 2014

Farmacie di turno con ampia scelta di viagra e derivati. Un 'divertente' caso di Pharmacy Hacking (1 novembre)

Sempre molti i casi di pharmacy hacking ai danni anche di siti IT.

Ricordo che per  Pharmacy Hacking si intende quel genere di hacking che colpisce siti legittimi attraverso l'utilizzo  di codici inclusi che generano nelle pagine web riferimenti di testo e links anche automatici (redirects), a siti di vendita online di medicinali soprattutto viagra e derivati.

L'odierna particolarita' e' che, probabilmente in modo del tutto casuale, e' stato colpito un sito IT


che tra le varie pagine legittime propone quelle relative ad indirizzi ed orari di apertura di farmacie 'di turno'

Capita cosi che la ricerca in rete propone 


che a prima vista potrebbe essere anche un risultato legittimo....

In realta' ci vuole poco per capire che e' l'ennesimo caso di sito compromesso da azione di pharmacy hacking.
Ecco infatti, che una pagina legittima linkata dalla ricerca


se attiviamo un user agent relativo a motore di ricerca, ci appare come


con decine di links collegati a vendita in rete di viagra e derivati.
Una analisi del source, quando e' attivo l'user agent Googlebot


evidenzia come ci siano links ad altri siti compromessi non italiani ma anche ad ulteriori pagine del sito IT con lunghi testi di pharmacy in lingua italiana, che alterano il layout legittimo.


Poiche', in questi casi, si tratta di links e' testi visibili solo se le pagine sono visionate quando e' attivo un User Agent di motore di ricerca, e' probabile che links e testi di pharmacy rimarranno presenti sul sito compromesso per diverso tempo. 

Edgar