sabato 11 aprile 2015

Ancora link a siti di Pharmacy tramite sito di P.A. compromesso (11 aprile)

Sempre molto attivo l'uso di siti compromessi per creare links in maniera automatica a siti di Pharmacy attraverso ricerche in rete.
Il caso odierno riguarda l'utilizzo di fake pagine dal layout di quelle del sito comunale e con testo di Pharmacy e che redirigono in automatico a sito di  vendita di medicinali online su IP tedesco


Il sito compromesso che presenta le pagine con il redirect a Pharmacy e' quello di noto comune del nord Italia. 
Ecco come si presenta una delle numerose fake pagine incluse nel sito comunale 


dove si notano i consueti testi relativi a vendita dii medicinali online.

Una analisi della struttura del sito mostra che le pagine fake sono ospitate in questo folder


di cui vediamo un dettaglio


Da notare come il timestamp dei files risalga al 2012 anche se alcuni riferimenti in rete farebbero pensare a data piu' recente per la messa 'online' dei contenuti di pharmacy.
Infatti una ricerca Google mostra decine di risultati indicizzati in data attuale 


cliccando sui quali se il nostro user agent corrisponde a quello di un browser veniamo portati prima sul sito del Comune e poi rediretti automaticamente  sulla pagina di Pharmacy 


tramite il codice contenuto in iframe


Naturalmente se proviamo ad utilizzare un user agent come quello di Google Bot verra' solamente presentata la pagina fake considerato che a chi vuole distribuire i link serve proporre al motore di ricerca la maggiore quantita' possibile di termini di pharmacy associandola allo script di redirect.

Niente di nuovo quindi riguardo alla presenza di siti online che redirigono a Pharmacy, tra cui un buon numero di siti di P.A., ma in ogni caso da notare come  questo evidenzi sempre un grande numero di siti con vulnerabilita' che potrebbero essere usate anche per distribuzione di malware, phishing e creare  possibili problemi di sicurezza su dati sensibili eventualmente accessibili sul sito comunale compromesso.

Edgar

giovedì 9 aprile 2015

Qui ci sono i documenti che avete chiesto. Nuova mail con allegato malware (09 aprile)

Ricevuta nel pomeriggio di oggi (09 aprile) una mail dal tipico layout collegato a distribuzione di files malware.


Come si nota dallo screenshot il messaggio e' infatti di dimensioni ridotte presentando solo un breve testo che dovrebbe incuriosire chi riceve la mail invogliandolo ad aprire l'allegato file zip.



Anche il nome del file compresso e' ingannevole 'scan 2930003 del 09 04 2015.scr' e vorrebbe far credere che si tratta di una scansione di un documento.
Da notare come la sia data riportata nel nome del file che il timestamp del file zippato siano attuali.

Di conseguenza, trattando di file recente non sorprende che l'analisi malware del contenuto tramite VT mostri il consueto basso riconoscimento dei contenuti malevoli.


Ricordo che l'estensione .SCR e' stata associata da Microsoft a contenuti di Screen Saver ma poiche' il file .SCR e' a tutti gli effetti un eseguibile questo tipo di file e stato usato, specialmente in passato, come mezzo di diffusione di malware

Una analisi dell'header mail mostra questi IP:


Si tratta quindi dell'ennesimo caso di spam pericoloso che, nonostante ormai sia diffuso da tempo e ben conosciuto, potrebbe comunque avere una certa efficacia considerato che la sua natura ingannevole deriva proprio dall'estrema semplicita' dei contenuti mail.

Edgar  

venerdì 30 gennaio 2015

MESSAGGIO EQUITALIA Mail di phishing Visa dal particolare testo (30 gennaio)

Si tratta di una mail di phishing Visa che presenta sia nell'oggetto che nel testo riferimenti ad Equitalia (Equitalia S.p.A. e' una societa' a partecipazione pubblica italiana, incaricata della riscossione dei tributi su tutto il territorio, ad eccezione della Sicilia. Fonte Wikipedia)

L'utilizzo di mails di phishing con oggetto l'Agenzia delle Entrate e' abbastanza diffuso specialmente con mails che propongono links ad eseguibile malware fatto passare per applicazione legittima di verifica delle dichiarazioni dei redditi.

In questo caso si tratta invece di tipica azione di phishing con l'uso di questa mail


dal testo in un italiano non sempre corretto.

L'header mail presenta  una serie di IP abbastanza lunga



Questo invece il clone Visa che cerca di acquisire le credenziali di carta di credito


e che e' hostato su IP turco.


Al momento della pubblicazione del post il clone non risulta piu' raggiungibile ma, considerato che il link in mail sfrutta comunque un indirizzo di redirect, non e' da escludere che i phishers possano far puntare il link a nuovo hosting del clone Visa.

Edgar