lunedì 29 settembre 2014

Dal DB segnalazioni del blog. Ancora phishing ai danni di azienda IT di telefonia ed uso del sito Linkbucks come servizio di URL shortening (29 settembre)

Segnalato sul db segnalazioni di questo blog, da un lettore che ringrazio, l'ennesimo caso di phishing ai danni di azienda italiana di telefonia.

Per quanto riguarda il layout del clone si tratta delle consuete pagine con form con richiesta di credenziali di carta di credito a fronte di una fake ricarica telefonica e di password Verified by VISA con redirect finale al sito legittimo.

Piu' interessante la struttura del phishing con l'utilizzo di redirect e uso di dyndns per puntare al clone ospitato su sito probabilmente compromesso con dominio giapponese.
Il lettore evidenzia infatti l'uso di Linkbucks per gestire il primo redirect di phishing:

Non ho capito come funziona questo monetizzatore di link:
https://www.Linkbucks.com/
Linkbucks allows you to make cash from the links your users post, from the links you place on your website, or from the posts you make in a forum. It is simple and easy to get started making money
Comunque e' il secondo messaggio in un paio di mesi che si serve di questo sito.  
Linkbucks e' un sito che propone la creazione di url con alias scelto da questo elenco


che redirigono ad indirizzo scelto a sua volta dall'utente.
Linkbucks, usa il redirect per inserire sue pagine pubblicitarie 


prima di puntare al sito indicato dall'utente.

A fronte di questa pubblicita' Linkbucks paga una somma, variabile da dominio a dominio (esiste un elenco con i diversi importi), per ogni click che sfrutti appunto il link di redirect che abbiamo creato. 
Appare evidente che l'utilizzo di questa modalita' di Linkbucks non sarebbe pratico per i phishers che vedrebbero della pubblicita' inserita tra il link in mail ed il clone ma, in effetti esiste un'altra possibilita' di utilizzo di Linkbucks e cioe' quella, piu' tradizionale, di URL shortening.


Ecco infatti che e' possibile utilizzare


dove si evidenzia che in tal caso si tratta di links ...non paid … quindi senza ritorno economico per chi li posta ma anche, e questo e' importante per i phishers, ...without advertising … ossia senza pubblicita' 'intermedia' tral links e sito finale.
In pratica Linkbucks e' usato come sito di URL shortening come se ne trovano diversi in rete.


Edgar

Ricordo che e' sempre attivo il db del blog per segnalare eventuali mail di phishing ricevute e delle quali, nel limite del tempo disponibile, verranno dati alcuni dettagli sul blog nonche' effettuata specifica segnalazione a chi si occupa del contrasto al phishing.

domenica 21 settembre 2014

Dal DB segnalazioni del blog. Falsa pagina di login a servizio Google drive e webmail (20 settembre)

Segnalato sul db segnalazioni di questo blog, da un lettore che ringrazio, l'ennesimo caso di fake login a servizi Google.

Questo il testo della mail che rivela come si tenti di incuriosire chi la ricevesse  per indurlo a loggarsi sulla fake pagina creata allo scopo.


Il layout e' simile ad altri gia' visti in passato, e mostra non solo la possibilita' di accesso a servizi Google ma anche ad altri tra i piu' diffusi servizi di webmail.
In effetti il layout ha fatto riferimento in passato a servizi webmail, ma viene usato nel caso odierno per far credere di loggarsi a Google Drive (vedi anche logo Google drive presente in mail)


L'accesso alla fake pagina avviene tramite link di redirect


ospitato su sito che, caricando la homepage, mostra l'evidente compromissione dello stesso


Per quanto si riferisce al clone Google, questo il contenuto del folder con i files immagine costituenti il layout della fake pagina di login


Contrariamente ad altre volte, nelle quali dopo l'immissione delle credenziali di login, si veniva rediretti a legittimo sito, questa volta abbiamo una lunga serie di messaggi che vogliono rendere piu' credibile il phishing, evidenziando una connessione a server Google con problemi








Al termine si viene poi rediretti su legittima pagina Google.

Come gia' indicato in numerosi post che trattano di fake pagina di login a webmail, lo scopo dei phishers e' quello di acquisire il maggior numero di accessi legittimi a mailbox, G.drive ecc... per poi utilizzarli in azioni di spam, di distribuzione malware o phishing, ma anche di furto di dati personali che potrebbero essere sottratti accedendo alla  mailbox compromessa.
Si consideri anche che sono in molti ad utilizzare la medesima password di accesso a piu' servizi WEB, facendo diventare il rischio di vedersi sottratti dati personali per chi avesse 'fornito' le credenziali di login alla propria webmail, ancora piu' elevato.
Da considerare infine che numerosi servizi offerti in rete, come ad esempio proprio quelli di Google, utilizzano lo stesso login per accedere non solo a webmail, ma anche altri servizi aumentando la quantita' di dati personali e sensibili che potrebbero essere acquisiti dai phishers. 

Edgar

Ricordo che e' sempre attivo il db del blog per segnalare eventuali mail di phishing ricevute e delle quali, nel limite del tempo disponibile, verranno dati alcuni dettagli sul blog nonche' effettuata specifica segnalazione a chi si occupa del contrasto al phishing.

sabato 13 settembre 2014

Messaggio di posta elettronica certificata (PEC) con allegato malware (13 settembre)

Ricevuta questa mail


con layout che parrebbe essere quello di mail PEC (Posta elettronica certificata).
Naturalmente l'oggetto dell'allegato fa subito pensare all'ennesima distribuzione di malware sotto forma di eseguibile contenuto in file .zip.

L'analisi degli headers mail mostra 


con entrambi gli IP su range italiano.
In particolare il primo IP parrebbe essere localizzato come


mentre il secondo confermerebbe che il messaggio mail e' transitato in relay.cert.legalmail.it, .


e quindi che si tratta di reale messaggio PEC 

Una ricerca del mittente mail presso il sito del 'Ministero dello Sviluppo Economico' https://www.inipec.gov.it/ conferma l'esistenza dell'indirizzo PEC utilizzato


,indirizzo mail che trova riscontro anche nella  ricerca sul sito dell'Ordine Professionale di appartenenza del mittente  


Questo l'allegato mail 


con l'eseguibile presente all'interno del file .ZIP e che VT vede come


con riconoscimento abbastanza basso da parte dei softwares antivirus


Naturalmente il fatto che il messaggio si presenti come mail PEC aggiunge una maggiore credibilita' ai contenuti allegati, cosa che potrebbe convincere chi lo riceve che si tratta di un autentico allegato di file immagine (foto.scr).

Per quanto riguarda il fatto che si sia usata una probabile legittima mail certificata per lo spam malware ci sono diverse possibilita'.
Sicuramente non e' da escludere il fatto che le credenziali di accesso alla mailbox PEC siano state acquisite attraverso azione fraudolenta di phishing (di falsi login di phishing a mailbox fake ne vediamo online a centinaia ogni giorno) e siano poi state utilizzate per l'invio dello spam malware.
Da notare come l'invio del messaggio risulti effettuato a 10 diversi indirizzi mail tra  cui quello di una mailbox del blog usata nell'analisi dello spam.

Tra l'altro la geo-localizzazione del primo IP utilizzato e visibile nell'header mail e' abbastanza  'distante' dal luogo del nord Italia dove parrebbe essere residente il mittente PEC e la sua attivita' professionale.

Edgar

giovedì 11 settembre 2014

Dal DB segnalazioni del blog. Phishing CartaSi con uso di siti compromessi e Wildcard nella url di phishing (11 settembre)

Evidenziate sul db segnalazioni di questo blog, da un lettore che ringrazio, numerose urls di phishing CartaSi.

Si tratta di una decina di casi che, come vedremo hanno in comune la tecnica utilizzata per creare l'indirizzo di phishing.

Questa la segnalazione sul DB del blog


dove appare il lungo elenco di url che puntano a 2 differenti indirizzi web che si riferiscono ad hosting  di clone di phishing CartaSi.


Una scansione con script Autoit mostra che si tratta di phishing attivo su tutti gli indirizzi web segnalati (i due principali piu' gli altri che sono in pratica dei  redirect particolari) 


Vediamo alcuni dettagli relativi anche agli IP che dimostra una possibile azione dei phishers a livello della gestione dei DNS dei siti coinvolti. :

Questo l elenco dei domini segnalati: 


dove notiamo subito che, dagli indirizzi IP evidenziati dal lettore, abbiamo 2 diversi gruppi, ognuno dei quali presenta evidenziato nello schema il relativo clone CartaSi su url costituita da differente indirizzo IP.
Esaminando gli IP ad esempio del primo gruppo possiamo notare come, ad una prima sommaria analisi, gli stessi siano tutti uguali, ma la cosa e' ben diversa.

Ecco infatti che aprendo  nel browser uno dei siti coinvolti abbiamo 


ossia si nota come' l'IP indicato dall'addon Firefox, non coincide con quello reale del dominio coinvolto


Notate come sulla homepage compaiano anche links che appaiono provenire quasi certamente da azione di hacking, cosa che dimostra ancora di piu' la presenza di probabili vulnerabilita' o comunque problemi sull'amministrazione del sito stesso.

Qui vediamo invece un breve report di alcuni dei siti coinvolti che si scopre, tre l 'altro, essere tutti hostati sul medesimo servizio di hosting israeliano


Il fatto che i siti coinvolti nell'azione di phishing siano hostati in parte sul medesimo IP si puo' spiegare con il fatto che i phishers potrebbero aver sfruttato qualche vulnerabilita' comune ai differenti domini.

Tornando all'azione di phishing, i phishers hanno creato per tutti i siti coinvolti, un subdominio, 


ed hanno fatto puntare questo subdomino al clone CartaSi.


Da notare come il subdominio creato sia quello corrispondente alla stringa www1 con uno schema uguale per tutti e cioe' www1.dominio_legittimo.....

In realta' non e' necessario che la stringa sia necessariamente www1 considerato che i phishers pare abbiano utilizzato wildcard nel nome dei subdomini, probabilmente potendo accedere all'amministrazione dei DNS.
Utilizzando la struttura della url con wildcard, qualunque sequenza di caratteri sara' valida, come vediamo in questo esempio


dove il subdominio 'pippo.' redirige sempre e comunque al clone CartaSi


Lo scopo di questa tecnica di redirect a clone attraverso l'uso di domini con wildcard e' spiegabile con il fatto che normalmente esistono online servizi dedicati al contrasto del phishing che mantengono liste di indirizzi web da bloccare (con relativa messa in balcklist).
Servizi gestiti da Google, Microsoft, Phishtank attraverso OpenDNS, Firefox, solo per citarne alcuni, e che provvedono a segnalare e/o bloccare centinaia di pagine di phishing ogni giorno.

Creando sempre nuove urls attraverso l'utilizzo di nomi di subdominio appositamente generati, i phishers tentano a loro volta di evitare la messa in blacklist dei loro cloni.

L'uso per entrambi i phishing CartaSi della tecnica  dei subdomini con redirect a clone, farebbe pensare alla gestione da parte di un unico gruppo di phishers per entrambi gli indirizzi IP coinvolti.

Inoltre, eseguendo una analisi piu' approfondita dei due cloni, si trova la presenza del medesimo KIT di phishing in formato .zip 


che rivela, tra l'altro un codice abbastanza complesso, con, ad esempio, una accurata gestione nel codice php per filtrare numerosi ranges IP.


Edgar

Ricordo che e' sempre attivo il db del blog per segnalare eventuali mail di phishing ricevute e delle quali, nel limite del tempo disponibile, verranno dati alcuni dettagli sul blog nonche' effettuata specifica segnalazione a chi si occupa del contrasto al phishing.

giovedì 4 settembre 2014

Siti di P.A. compromessi. Un caso di fake login multiplo a servizio webmail incluso in sito comunale IT (4 settembre)

Sempre molto diffuse in rete pagine, quasi sempre incluse su siti legittimi compromessi, che propongono  un falso login multiplo a diversi noti servizi di webmail.

Lo scopo e' quello di venire in possesso sia di un indirizzo mail valido che delle credenziali di accesso alla mailbox con tutte le conseguenze del caso.
Da notare anche che, sempre piu' spesso, lo stesso login alla mailbox permette, vedi esempio i servizi Google, di accedere a molti di quelli offerti e non solo alla mailbox.
Altro possibile problema e' che molti usano la stessa password per accedere alla mailbox ma anche a differenti servizi web aumentando cosi il pericolo che chi e' venuto in possesso delle credenziali di accesso alla mail possa anche usarle per altri login.

Questa la fake pagina di login webmail


dove notiamo i differenti loghi cliccabili che corrispondono ad altrettanti form di richiesta credenziali di accesso.


Una volta confermati i dati si viene rediretti su legittimo login Google


Le pagina di fake login e' inclusa all'interno di questo sito comunale IT di cui vediamo la homepage


con IP


Una analisi dei response headers della fake pagina di accesso ai servizi webmail mostra data recente per l'azione di inclusione dei contenuti di phishing.


Edgar

martedì 2 settembre 2014

Avviso: Prevenzione e contrasto dell'evasione. Una ingannevole mail che simula una comunicazione dell'Agenzia delle Entrate e che tenta di diffondere malware attraverso .doc con macro malevola. (02 settembre)

Non e' la prima volta che troviamo in rete phishing che sfrutta false mails che simulano messaggi che dovrebbero provenire dall'Agenzia delle Entrate. 
Di solito si tratta di fake mail che tentano di proporre  pagine con form per acquisire credenziali di carta di credito od altri dati sensibili.

Questa volta, invece, ci troviamo di fronte ad una tipica azione di diffusione malware che viene attuata sicuramente con grande cura nella sua implementazione anche se, come vedremo, non tutta l'azione malevola parrebbe avere la stessa cura nel tentare di ingannare chi ricevesse la fake mail.

Ecco alcuni dettagli:

Questa la mail 


con un testo in italiano corretto e sicuramente ingannevole e con un allegato file di testo .doc (word) che viene descritto nella mail come il testo contenente le “.Le Linee Guida fornite dall'Agenzia delle Entrate (in allegato). ….....”  e , di seguito riferimenti a “..per evitare di essere segnalato dal sistema come un soggetto “a rischio” dopo il primo controllo basato sul c.d. “redditometro”.
...”
Un primo dubbio in chi ricevesse la mail potrebbe essere il fatto che l'allegato non e' nel diffuso formato Adobe pdf , formato di solito utilizzato per distribuire documenti di testo attraverso la rete, ma si sia usato un file .doc Word.
Naturalmente la spiegazione e' che si utilizza la possibilita' di gestire macro comandi da  parte di Word (ed anche di softwares che comunque leggono il formato word), cioe' una serie di istruzioni che se eseguite tenteranno di scaricare ed eseguire sul pc di chi ha aperto il file, codice malevolo.

C'e' da notare come il testo del messaggio mail sia molto curato e presenti la tipica struttura dei testi ufficiali ma la spiegazione e' abbastanza semplice.
Qui vediamo una recente circolare datata 6 agosto e prodotta dall'Agenzia delle Entrate 


Si tratta di un testo in formato PDF che presenta, tra l'altro,  


che possiamo confrontare con il messaggio mail.


Si capisce come, col minimo sforzo, chi vuole distribuire il malware, abbia fatto un copia e incolla del  testo ufficiale, ottenendo un messaggio altamente ingannevole.

Come si vede il layout mail presenta anche il logo dell'Agenzia delle Entrate, che vien direttamente acquisito dal sito ufficiale.


La mail presenta inoltre headers 


Passando all'allegato .doc, che e' poi il veicolo del malware, abbiamo


dove in realta' troviamo solo del testo in inglese che spiega come attivare l'esecuzione delle macro nelle varie versioni di Word Microsoft.


In effetti cio' contrasta con il dettaglio del testo mail, che era in italiano e sicuramente molto ingannevole, ma in questo caso e' possibile che, se l'esecuzione delle macro fosse abilitata, il testo mostrato conti poco in quanto avremmo gia' la possibile azione malevola in corso.

Esaminando infatti i contenuti del doc troviamo questo codice macro


che se andasse in esecuzione, tenterebbe di scaricare da sito su dominio .ru una falsa immagine png, in realta' codice malevolo

Ecco come Virus Total rilevava il codice incluso nel doc


con praticamente nessun AV che evidenzia la minaccia.

Scaricando il fake file immagine dal sito .ru ed analizzandolo con VT abbiamo invece un maggior numero di software che rilevano i contenuti malevoli


Dal punto di vista dell'origine dell'azione di distribuzione malware alcuni dettagli , a parte il dominio .ru a supporto del codice macro, notiamo anche code page del documento word che mostra


e scritta in caratteri est europei


L'azione sembra molto recente in quanto sia il response header 


che la data di creazione del dominio .ru (anche se su server koreano) sono attuali.



Un phishing con allegato malevolo che potrebbe quindi rivelarsi abbastanza pericoloso anche se c'e' da dire che normalmente l'esecuzione automatica di codici macro inclusi in documenti word dovrebbe, per motivi di sicurezza,essere di default disabilitata ed e' proprio  per questo che il testo del doc mostra, anche se in inglese, come attivare l'esecuzione dei codici macro.

Edgar