martedì 29 aprile 2014

Nuova distribuzione malware ai danni di utenti IT della rete (29 aprile)

Ricevute alcune mail con messaggio che linka a malware.
Questo il layout che vede un testo con alcuni errori e la presenza di differenti frasi e numeri  telefonici random a fine messaggio.


Gli headers mail presentano IP diversi da messaggio a messaggio ma con secondo IP su range IT.



I files ZIP linkati in mail sono ospitati su diversi siti compromessi e con, ad esempio, whois


e whois


Il contenuto del file ZIP linkato include file eseguibile mascherato da lunga sequenza di caratteri 'underscore' come ampiamente gia' visto in passato.


Come succede quasi sempre in questi casi, il riconoscimento da parte degli antivirus nelle prime ore dalla distribuzione malware, risulta essere quasi nullo.


In pratica, lo scopo delle mails e' sempre quello di incuriosire chi le ricevesse invogliandolo ad aprire il file ZIP e cliccare sul file che a prima vista pare essere un PDF considerato che la vera estensione .exe e' mascherata dalla lunga sequenza di caratteri _ (underscore)

Edgar

martedì 22 aprile 2014

Inclusione su sito comunale di contenuti di pharmacy e links a siti di vendita di medicinali (21 aprile)

Si tratta di un notevole caso che vede attualmente linkate da ricerca in rete decine di pagine con riferimenti a pharmacy e link a sito di vendita online di medicinali, il tutto su singolo sito comunale .IT compromesso.

Questo un whois del sito


Qui vediamo una delle pagine 


la cui url appare nei risultati di ricerca Google


Si tratta, nel dettaglio, di contenuti in lingua italiana che trattano di viagra e derivati con presenza anche di links ad altre pagine simili sempre sul sito comunale compromesso, e con testo correttamente formattato quasi si trattasse di reale e legittimo contenuto:


Nella parte bassa della pagina si nota un iframe con script che redirige in maniera automatica a sito di pharmacy:


In pratica chi cliccasse su uno dei link proposti da Google nei risultati di ricerca vedrebbe solo per pochi secondi al pagina proposta dal sito comunale per essere poi rediretto al sito di pharmacy.


Questo breve filmato mostra un dettaglio di quanto accade:


Collegati alla presenza di queste pagine comunali linkate dai motori di ricerca sono le decine di links che appaiono su siti esteri sempre con  riferimento alle stesse pagine comunali linkate da Google.


Una ricerca mostra ad esempio molti siti, in questo caso .RU con linksi sempre al sito comunale di cui sopra.

Lo scopo e' sempre quello di diffondere il piu' possibile in rete links a pagine, su siti quasi sempre compromessi, che a loro volta attuano un redirect al sito finale di pharmacy ed il tutto naturalmente a costo nullo per chi gestisce la vendita online di farmaci.

Edgar

sabato 19 aprile 2014

Virus Alert! from 'Tiscali Mail Admin'. Fake mail allo scopo di sottrarre credenziali di login ad utenti Tiscali Mail.

Non e' una novita' il tentativo di sottrarre credenziali di accesso a webmail gestita da Tiscali come ad esempio spiegato in questo vecchio post del 2011.
Le mails odierne sono in lingua inglese e presentano un testo che informa di accessi alla nostra mailbox da una diversa localita' rispetto alla nostra abituale da cui accediamo alla rete.


Come sempre si potra' bloccare le visite fraudolente al nostro account loggandosi attraverso il form proposto nel link in mail.
Da notare come l'oggetto mail porti invece il testo 'virus alert'

Gli  headers mail presentano IP


tra cui 2 argentini che coincidono anche con il dominio usato per indicare la mail del mittente (.AR)
Il link punta a questo fake form Tiscali 


con la presenza di logo Tiscali simile a quello originale.
Il form e' hostato su  webs.com


cosa che permette la creazione di url ingannevole con incluso il nome Tiscali.

Il form effettua solo un piccolo controllo sulla presenza o no dei dati ma ad esempio la verifica della password non e' implementata, accettando il campo di conferma, qualsiasi stringa casuale di caratteri.
Da notare poi come il testo del campo utente sia in italiano “nome utente' mentre la password veda testo errato come “Confirm Paswold “

Una volta confermati i dati viene linkata a questa pagina che mostra


Edgar

giovedì 17 aprile 2014

Ancora malware per utenti IT della rete (16 - 17 aprile)

Nuovamente una distribuzione malware 'dedicata' ad utenti IT della rete e che viene attuata tramite il consueto messaggio mail con link a malware.

Il caso odierno vede questa mail, dal testo molto semplice


e che vorrebbe far credere che e' disponibile una risposta ad una nostra domanda fatta su un non meglio identificato forum.
Da notare come si inviti a scaricare il file presentando in messaggio mail un indirizzo che appare non cliccabile (quindi copia e incolla da parte di chi avesse ricevuto la mail e volesse seguirne le indicazioni)
Una analisi degli headers mail mostra un buon numero di IP di riferimento per il 'percorso' seguito dal messaggio.


Il file ZIP contenente il codice malevolo e' hostato su sito IT probabilmente compromesso


con whois


Si tratta di file ZIP dove vediamo ritornare l'utilizzo della tecnica del nome di file con lunga sequenza di _ (caratteri underscore) allo scopo di mascherare la reale estensione del file (eseguibile EXE).

In pratica l'utente che apre lo zip vede


mentre il file e'     


con estensione .EXE

Una analisi VT  mostra come sempre basso riconoscimento nelle prime fasi della 'distribuzione' malware


VT mostra data e time recente quale statistica delle analisi malware riferite al file ZIP


Edgar

domenica 13 aprile 2014

Phishing Apple IT (12 aprile)

Anche se non diffuso come ben noti phishing, ad esempio quello PayPal, il phishing Apple, specialmente negli ultimi mesi, risulta ben presente in rete.
Si tratta di cloni che sono quasi esclusivamente in lingua inglese ma, come vedremo, i phisher propongono a volte fake pagine in altre lingue tra cui quella italiana.
Ecco infatti una attuale mail di phishing ai danni di Apple IT, che mostra un aspetto grafico ben curato ed in linea con la grafica proposta dalle legittime pagine Apple.


C'e' pero' da dire che, anche se il layout e' molto simile alle reali pagine Apple, lo stesso non si puo' dire per lo specifico testo mail, scritto in un pessimo italiano .
Il messaggio e' il consueto avviso di scadenza del proprio account (in questo caso iTunes) e cerca di convincere chi ricevesse la mail a loggarsi al fake sito Apple.

La mail presenta header con IP come


e propone un link che tramite redirect su 


punta al clone Apple in lingua italiana.

Il dominio appare creato da pochi giorni probabilmente al solo scopo di hostare il clone Apple


I riferimenti IP dell'header, l'IP whois e i nomi del registrant fanno pensare ad origine francese per questo phishing.

Questa la sequenza del phishing che vede il clone con prima pagina


e che in dettaglio


evidenzia come lo scopo principale sia quello di acquisire le credenziali di carta di credito, ma non solo.
Segue infatti questo fake form che acquisisce sia indirizzo email che altri dati anagrafici e di residenza di chi cadesse nel phishing


per terminare poi con questo ulteriore form con altri dati personali richiesti tra cui il codice fiscale e dati specifici dell'account Apple


La sequenza termina con una fake attesa che vorrebbe simulare una qualche verifica in corso da parte del sito Apple e con testo “Essere controllati” frutto di probabile traduzione automatica.


Segue un ultimo messaggio di conferma del corretto invio delle informazioni e del successo della verifica


per venire poi rediretti al legittimo sito Apple.



Edgar

venerdì 11 aprile 2014

Mail con allegato malware (11 aprile)

Poche righe per descrivere l'ennesima mail con allegato file malware.

Si tratta di un messaggio probabilmente destinato ad utenti non italiani, considerato che fa riferimento al servizio privato inglese di distribuzione postale UK Mail ('The UK's largest independent express delivery company')e presenta testo del messaggio in lingua inglese, anche se c'e' da rilevare che gli indirizzi email presenti rivelano destinatari tutti italiani.
Questo un dettaglio della mail con il consueto testo che informa di un report allegato riferito a consegna mail che ci riguarda, nel tentativo di incuriosire che riceve il fake messaggio e fargli aprire ed eseguire l'allegato presente.


Il logo in mail e' linkato da pagina del sito legittimo 'UK Mail'


mentre gli headers presentano IP


Da notare come lo zip allegato contenga un file exe senza nessun tipo di mascheramento dell'estensione, cosa che dovrebbe rendere piu' riconoscibile agli utenti il fatto che si tratta di un tentativo di diffondere malware.
Inoltre appare un timestamp riferito al 2005.


Una analisi VT dimostra come succede sempre in questi casi, che la risposta antivirus risulta quasi assente poiche' si tratta di codice recente e quindi non ancora analizzato dai produttori di software AV.


In definitiva quindi una mail con allegato malware che, almeno per chi ha un minimo di conoscenza della rete, non dovrebbe rappresentare un problema.
Il rischio malware potrebbe riguardare invece chi usa saltuariamente la rete e che incuriosito dall'allegato tentasse di eseguirlo considerato anche il basso riconoscimento dei contenuti malevoli da parte dei piu' noti software AV, almeno nelle prime ore della comparsa online del fake messaggio.

Edgar

martedì 8 aprile 2014

Siti IT compromessi. Una odierna azione di 'mass defacement' (07 aprile)

Questa mattina (ora thai) abbiamo avuto in rete, ai danni di siti .IT, quella che appare essere stata una tipica ed estesa azione di 'mass defacement' che colpisce oltre 200 siti (totale rilevato con script Autoit pari a 230 siti) presenti su:


Questo un report Autoit che mostra il grande numero di homepages 


sostituite da 


Una analisi del 'response header' di alcune delle homepages compromesse mostra


con evidente riferimento a data recente per l'azione di 'mass defacement'.

Questo invece un dettaglio del report htm generato dallo script Autoit


che evidenzia l'alto numero di siti con la homepage sostituita da quella di hacking ed alcuni ulteriori dettagli del codice di hacking.

Edgar

mercoledì 2 aprile 2014

Elevato numero di siti comunali IT compromessi con inclusione di semplice testo di hacking.(02 aprile)tutti

Su


troviamo un buon numero di siti comunali compromessi con l'inclusione di questo semplice file di testo


Il 'response header' indica data recente per la probabile inclusione del testo di hacking.


Qui vediamo un report Autoit che evidenzia i siti comunali coinvolti


che, come si vede analizzando le homepages, presentano tutti layout e struttura simile (siti hostati sul medesimo server)


cosa che potrebbe aver favorito l'estesa azione di hacking.

Edgar