Edgar's Internet Tools

Distribuzione eseguibili malware attraverso forum IT (29 gennaio)

2012-01-29T15:38:00.005+07:00

Su questo post del 24 gennaio veniva analizzata l'ennesima distribuzione malware attraverso posts su forum IT creati solo allo scopo di linkare siti dai contenuti malware sotto forma di fake players video, install di flash player ecc...

Vediamo qualche ulteriore dettaglio aggiornato ad oggi:

Come si nota dalla pagina dell'elenco dei posts viene indicata data odierna (today) che rivela un continuo 'aggiornamento' degli stessi in tempo reale

mentre ecco un tipico layout di uno dei messaggi postati attualmente.

Il link presente punta, tramite redirects al fake player di filmati porno

A conferma dell'attuale stato attivo dell'azione di distribuzione malware notiamo alcune differenze sulla sequenza dei redirects sia con l'uso di snipr.com in sostituzione di tinyurl.com del 24/1

e di google.ru come redirect tramite l'uso di google rispetto a google.com usato la volta scorsa.

Il malware linkato da

si presenta rispetto al 24 gennaio

ancora meno riconosciuto (notare anche differente software AV che rileva il codice pericoloso)

con solo 3 software che evidenziano i contenuti malevoli ( in realta'di 2 aziende, essendo presenti due versioni di software McAfee)

Anche se sono ben noti i limiti dovuti ad una scansione online quale quella di Virus Total che potrebbe avere risposta diversa del software AV quando eseguito sul reale PC dell'utente, rimane il fatto che ci troviamo odi fronte ad un codice malware attualmente non rilevato dai softwares AV e quindi che potrebbe creare qualche problema a chi eseguisse il fake install di flash player sul PC.

Edgar

Phishing ai danni di banche IT a diffusione regionale. Variazioni sul tema. Phishing Lottomatica (26 gennaio)

2012-01-27T08:22:00.003+07:00

Nella giornata di ieri abbiamo avuto diversi attacchi di phishing ai danni di differenti banche IT documentati qui.

Di solito, se un sito presenta vulnerabilita' o comunque la possibilita' di uploadare in maniera semplice (vedi es. con l'uso di Asset Manager) contenuti di phishing, lo stesso viene utilizzato a piu' riprese dai phishers.

E' il caso di quello visto ieri che hostava i codici php relativi a phishing C.R. Bolzano, e che adesso ospita un semplice phishing Lottomatica

a cui si viene linkati da questa attuale mail segnalata in rete

Questo un dettaglio della Asset Manager Innova Studio gia' analizzato ieri

mentre qui vediamo il source del semplice codice php presente, che effettua l'invio al phisher dei dati eventualmente sottratti

L'indirizzo mail conferma identico personaggio rispetto a quello visto ieri in phishing C.R.Bolzano

Una volta acquisiti i dati si viene rediretti a questa reale pagina Lottomatica

Edgar

Phishing ai danni di banche IT a diffusione regionale: Banca Popolare dell'Emilia Romagna , C.R. Bolzano, Banca Valsabbina (26 gennaio)

2012-01-26T11:03:00.009+07:00

Nella giornata di ieri abbiamo avuto diversi attacchi di phishing a banche IT diffusione prevalentemente locale o regionale.

Si e' iniziato con un phishing ai danni di Banca Valsabbina rilevato quando erano le prime ore del mattino in Thailandia (quindi notte in Italia) e che e' comunque stato contrastato dalla banca rendendolo praticamente inattivo dopo poche ore.
Da notare come detto phishing pur avendo alcune caratteristiche (vedi es. redirect su Altervista) che lo accomunavano ai soliti di R-team presentasse comunque un redirect al clone che sfruttava sito UK compromesso

ma senza la possibilita' di rilevare l'utilizzo dei soliti files managers comuni in questi casi.

Terminato l'attacco a Valsabbina sempre il medesimo sito di redirect e' passato ad ospitare direttamente un clone C.R. Bolzano (tuttora attivo) che, come rileva anche Denis Frati sul suo blog, presenta pero' forms con i codici di gestione php ospitati su altro sito.
Da notare che, rispetto a quanto illustra Denis Frati sul clone da lui rilevato

parrebbe adesso esserci diverso timestamp sui files htm (da 10:34 a 15:05)

e il link al sito che ospita i php di acquisizione credenziali eventualmente sottratte sia ora differente (si tratta di comune modifica dei redirects attuata dai phishers per evitare blacklisting ecc.....)

con un whois

Una analisi del sito compromesso che ospita i codici php ritorna a proporre un Asset Manager Innova Studio

che evidenzia la presenza , oltre ai php visti, anche di mailer

Questo utilizzo di Asset Manager ricorda nuovamente gli attacchi R-Team ben noti ma una analisi dei sorgenti php

ci rivela indirizzo mail differente dall'usuale R-Team almeno rispetto a recenti attacchi di phishing, cosa che fa quindi rimanere qualche dubbio sugli attuali gestori degli stessi.

Per di piu' CR Bolzano e' coinvolta, questa mattina 26 gennaio (ora Thai) in altro attacco

che si sviluppa tramite sito compromesso USA, di Hotel, che punta tramite redirect a clone hostato su dominio creato in data odierna

attraverso il 'solito' servizio di hosting usato molto in passato da r-team

In questo caso i form di login e richiesta pin hanno i codici php direttamente linkati nel medesimo folder che usa il clone

C'e' comunque da rilevare che comparando i due sources htm sia del clone su sito UK che quello su hosting USA le differenze sono minime

ed abbiamo lo stesso nome di file tanto da far pensare a stesso kit di phishing se non, ad origine comune dei due attacchi.

Per terminare abbiamo pure attivo al momento un phishing ai danni di Banca Popolare dell'Emilia Romagna che sfrutta hosting su sito USA compromesso (sito di E-Commerce) gia' analizzato in precedente post

L'unica differenza che, dal messaggio mail segnalato in rete, parrebbe esserci adesso link diretto al clone, senza che venga sfruttato il redirect intermedio visto in precedenza.

Questo il clone BPER

Edgar

Distribuzione eseguibili malware attraverso forum IT (24 gennaio)

2012-01-24T17:44:00.006+07:00

Anche se e' da qualche tempo che non viene trattato dal blog, l'argomento relativo a links a falsi siti di filmati online (quasi sempre di genere porno) utilizzando post creati allo scopo su forum poco o per niente amministrati, e' sempre di attualita'

Questo un odierno forum IT dove notiamo una lunga sequenza di post aggiornati in tempo reale (in media dai 3 ai 5 al minuto) e comprendenti differenti links a fake sito di filmati porno

Ecco un tipico post con immagine cliccabile

e lunga serie di termini relativi al medesimo argomento porno trattato con lo scopo di creare il maggior numero di link attraverso una ricerca in rete.

E' interessante analizzare il link proposto con Fiddler ottenedo

con un primo redirect utilizzando tinyurl seguito a sua volta da un redirect gestito attraverso URL che punta a Google.
Si tratta di un tipico caso di 'Google Search URL Redirection' gai visto in passato.
A sua volta verremo rediretti, senza che appaia alcun riferimento a Google nel browser, ad altro sito che successivamente puntera' ad uno dei tanti layout di gestione filmati video in parte gia' visti altre volte

e

ma anche con differente presentazione del fake player che parrebbe essere aggiornata.

da cui

Naturalmente sara' necessario scaricare il programma di installazione del FAKE player flash che in realta' dimostrera' essere

Questo un whois del sito di falsi filmati:

Da notare come in questi casi sfruttando differenti e multipli redirect, e post su forum pubblicati ad intervalli di tempo molto breve, chi vuole distribuire malware disponga di tutto l'occorrente per proporre eseguibili non facilmente individuabili dai sofwares AV e con possibilita' di utilizzare indirizzi web continuamente variati che rendono difficoltoso anche un blacklisting degli stessi.

Edgar

'Il vostro ordine di riferimento e' ...... '. Aggiornamenti (24 gennaio)

2012-01-24T12:06:00.005+07:00

Chi segue il blog ricordera' certamente la segnalazione del 21 gennaio relativa a fake documento allegato a messaggio mail.

Tale documento, fatto passare per pdf , in realta' mostrava essere eseguibile malware.

Da segnalare che una analisi Virus Total il 21/1 mostrava riconoscimento malware praticamente nullo sia per il file .zip che per quello estratto.

Attualmente, vediamo come, sia il file zip

che il file estratto .exe

presentano un riconoscimento che incomincia ad essere significativo anche se alcuni noti AV parrebbero ancora non rilevare i contenuti pericolosi.

Come gia' visto altre volte ci sono pure alcune differenze tra risposta AV su file zip e su file estratto exe

Da ricordare, anche, gli eventuali limiti di una scansione online come quella VT, con possibile risposta ai contenuti pericolosi da parte dei software AV che attualmente non individuano il malware, che potrebbero pero' allertare quando il fake pdf venisse eseguito sul PC .

Edgar

Ancora phishing CartaSi (24 gennaio)

2012-01-24T09:50:00.000+07:00

Ancora mail di phishing CartaSi

con allegato form

che presenta link a codice php

hostato su sito sviluppato in WordPress con whois

e che rivela anche la presenza online di file credenziali sottratte a chi fosse caduto nel tranello della falsa mail

Edgar

Phishing ai danni di banche IT a diffusione regionale: Banca Popolare dell'Emilia Romagna (23 gennaio)

2012-01-23T18:05:00.003+07:00

Ritorna il phishing Banca Popolare dell'Emilia Romagna tramite solita mail fake segnalata in rete e che sfrutta hosting su sito USA compromesso (sito di E-Commerce)

Vediamo brevemente (considerato che oggi e' capodanno (cinese) in Thailadia e giorno festivo per molti) qualche dettaglio:

Questo il clone BPER

mentre una occhiata al kit di phishing

mostra data attuale

per il php che esegue l'invio delle credenziali eventualmente sottratte

Stessa data attuale nel subfolder files pagina clone di login relativamente al file thumbnail delle immagini

L'indirizzo mail a cui vengono inviati i dati sottratti e' gia' stato rilevato, ma solo come parte del nome presente, in phishing Cariparma di inizio 2011 e, cosa piu' interessante in caso BPER nell' aprile 2011

Edgar

Phishing PayPal (22 gennaio)

2012-01-22T21:58:00.009+07:00

Ancora phishing Paypal con questa mail

dal layout accurato e dal logo in lingua francese, cosi come alcuni testi delle pagine clone e di variabili del codice php di invio credenziali sottratte, segno di possibile origine da sorgente di phishing Paypal in lingua francese.

Il link in mail punta a redirect

hostato su sito USA compromesso che propone anche diverse shells php incluse in folder utilizzato sia per hostare il redirect a clone Paypal IT che ad altro clone PayPal in lingua tedesca.(notate data odierna per il redirect a clone PayPal IT)

Il redirect punta a sito con whois

con evidenti segni di compromissione come la presenza di diverse shells php.

Sempre incluso nello stesso sito troviamo il clone

ed il kit di phishing PayPal

Un confronto con il precedente phishing PayPal descritto qualche giorno fa

mostra evidenti analogie sia con la struttura del sito copia che con i nomi dei codici che gestiscono il phishing.(es file BiMAr.php)

L'unica sostanziale differenza e' l'indirizzo mail a cui vengono inviati i dati eventualmente acquisiti e che consiste questa volta in ben tre nominativi

Da notare come si cerchi sempre di acquisire il maggior numero di dati compreso una ampia scelta di differenti gestori di carte di credito.

Edgar

'Il vostro ordine di riferimento e' ...... '. Altri dettagli (22 gennaio)

2012-01-22T13:32:00.009+07:00

AVVISO IMPORTANTE! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di pagine e siti che potrebbero distribuire eseguibili MALWARE, tra l'altro, anche poco riconosciuti dai software AV.

Dopo alcune ore dalla ricezione della mail con link a malware, abbiamo per quanto si riferisce al riconoscimento del file eseguibile, sempre risposta nulla per il file .exe mentre si e' passati da 3 a 4 AV che riconoscono lo zip come file malevolo o sospetto

Una analisi Anubis mostra una connessione a

confermata da Threath Expert

quando l'eseguibile va' in run

Lo stesso indirizzo web a cui si connetterebbe il malware e relativo file .bin sono present in una segnalazione Sophos, anche se non parrebbe collegata al caso attuale.

Piu' interessante questa segnalazione Cisco

che evidenzia stesso link a file zip ma su differente url IT

a conferma, come si legge, di ....una significativa attivita' in relazione a messaggi di spam in lingua italiana...... (identici a quello visto nella mail ricevuta ieri).

Un ulteriore indizio della probabile diffusione di questo spam con allegato malware, lo abbiamo anche dalle statistiche del blog, con percentuale piu' alta di accessi nelle ultime ore proprio al post relativo al fake documento pdf online.

Aggiornamento:
Ulteriore segnalazione in rete di spam che punta a differente sito IT e diverso nome di file zip e con fake estensione .doc quando estratto
In realta' una analisi md5 mostra identico contenuto sia per il file falso .doc che per il fake pdf visto in precedenza.

Edgar

'Il vostro ordine di riferimento e' ...... ' (21 gennaio)

2012-01-21T23:52:00.009+07:00

Ritorna una nota distribuzione di malware attraverso mails come quella ricevuta da poco

che presenta link ad eseguibile ''mascherato' nel nome dall'uso di una lunga serie di caratteri underscore

Ecco come si presenta il contenuto del file zip linkato in mail prima

e dopo aver ridimensionato la colonna relativa al nome del file

Una analisi Virus Total mostrava, al momento della scrittura del post, riconoscimento nullo per il file estratto dallo zip

mentre il file nel formato zip viene riconosciuto come possibile malware da ben pochi softares AV

Questi gli header in mail

mentre per quanto si riferisce all'hosting del file, probabile malware, vediamo alcuni ulteriori dettagli:

Il lnk in mail punta a sito italiano compromesso di vendita 'caffe'

con whois

Detto sito parrebbe ospitare due differenti folders che hostano l'eseguibile malware

ma non solo.

Una ricerca piu' approfondita porta infatti a trovare alcuni codici relativi a questa 'nota' pagina fake dal layout di e-card

gia' ampiamente vista e descritta in passato in questo post.

Una breve analisi del codice offuscato indica che al momento l'indirizzo presente non e' piu' attivo.

Ritornando al file eseguibile una sua analisi con Anubis mostra che lo stesso si connette ad indirizzo con whois

e riferimento a file che ritroviamo gia' in una precedente analisi malware Sophos.
In ogni caso si tratta di una azione di spam pericoloso che potrebbe, grazie al fake nome del file e la doppia estensione mascherata, far cliccare sull'eseguibile,tanto piu' che al momento detto codice sembra praticamente sconosciuto ai piu' diffusi software AV anche se, come sempre, c'e' da tenere conto dei limiti di una scansione on-line on-demand quale quella di Virus Total.

Edgar

Phishing PayPal IT su sito sud americano (20 gennaio)

2012-01-21T07:54:00.005+07:00

Si tratta di un phishing PayPal ai danni di utenti IT strutturato con sequenza di form abbastanza dettagliati e con richiesta di numerosi dati relativi all'account PayPal.

Abbiamo (dopo la diffusa pagina che simula una attesa per connessione in corso) questo form

e

ed a seguire

Su certi campi (es. il numero di carta) viene eseguito il controllo sulla correttezza dei dati.

Il sito compromesso che ospita il clone e'

con whois cileno

Il sito e' compromesso e presenta shells sia nel folder che ospita alcun files mp3 di musica eseguita in background nella homepage

che altra con password di accesso, in folder che ospita anche il clone PayPal

Un dettaglio delle date dei files presenti mostrano date recenti (19/1) per i codici php di invio credenziali sottratte dal fake sito PayPal

Questo il codice php che mostra nomi delle variabili in lingua francese cosi'

come il reale sito a cui si dovrebbe venire rediretti risulta essere quello PayPal in lingua francese.

Ho scritto 'si dovrebbe venire rediretti' in quanto in realta' parrebbe esserci un errore sul codice di redirect al reale sto PayPal.

Edgar

'Newsletter di Gennaio'. Phishing CartaSi e WIND accomunati da alcuni dettagli mail (20 gennaio)

2012-01-20T10:05:00.009+07:00

Ricevute alcune mails di phishing ai danni sia di CartaSi che WIND con alcuni punti in comune, cosa che fa pensare anche a possibile origine da parte dello stesso gruppo di phishers.

Queste due delle mails ricevute

nelle quali abbiamo sia mittente "Newsletter di Gennaio" comune ai due messaggi mail ed anche che, in entrambe le mails, si informa di una ricarica telefonica gratuita.

Vediamo alcuni dettagli:

La prima mail che esaminiamo e' rivolta ad utenti CartaSi

ed avvisa di una “........ ricarica telefonica del valore di € 75,00. .” in regalo.

Questo l'header in mail

Naturalmente, anche se non viene esplicitamente indicato, lo scopo e' quello di far effettuare, a chi riceve il fake messaggio, il login al sito clone CartaSi indicato in mail.

Il link presente esegue un redirect utilizzando un sito di Free Subdomains USA

utilizzato sia per generare un nome ingannevole di url ma naturalmente anche per, nel caso di black-listing o sospensione dell'account su cui risiede il clone attualmente, redirigere su clone hostato su diverso indirizzo.

Questo il fake sito CartaSi

ospitato su server Altervista (whois tedesco)

La registrazione del nuovo account Altervista utilizzato appare effettuata da alcun giorni.

Altra mail questa

che a fronte del medesimo 'mittente' della precedente CartaSi informa di una possibilita' di effettuare una ricarica gratuita WIND.

Questo un dettaglio dell'header

Come si vede anche in questo caso abbiamo l'uso dell'argomento ' ricarica telefonica gratis ' per cercare di sottrarre credenziali di carta di credito ed, in questo specifico caso WIND anche di altri dati personali riservati.

In effetti si tratta del medesimo phishing WIND visto il 17 gennaio e descritto in maniera dettagliata in questo post, dove pero', la mail non utilizzava allegato ma direttamente un layout ingannevole

La differenza rispetto alla volta scorsa e' che ora il layout (logo e testo) sono inseriti in mail come allegato e non direttamente come layout del messaggio

Il link presente punta comunque al medesimo sito visto in passato, che presenta alcuni form

che tentano di acquisire i dati di chi fosse caduto nel phishing.

Edgar

2012-01-19T18:51:00.000+07:00

Security Defender. Un fake AV sempre ben presente in rete (19 gennaio)

2012-01-19T13:39:00.011+07:00

Il 10 febbraio 2011 www.bleepingcomputer.com pubblicava una guida su come rimuovere un fake Av denominato Security Defender, come sono di quel periodo anche altre segnalazioni relative al fake AV.
Caso abbastanza particolare, a distanza di quasi un anno, possiamo rilevare in rete decine di domini creati di recente, che si occupano della 'distribuzione' in rete di Security Defender , dimostrando che il fake Av e' ancora ben supportato da chi vuol distribuire questo genere di malware.

Vediamo alcuni dettagli:
Questo un lungo elenco proposto sul forum di www.malwaredomainlist.com con decine di indirizzi web attualmente attivi

tutti con dominio di primo livello come .IN (India). anche se comunque un whois punta a a server

Da notare come a detta lista si aggiungano anche altri domini, rilevati attraverso diversi siti di analisi IP.

Un whois mostra anche data recente di creazione dei domini che linkano al malware (dicembre 2011)

confermando cosi' che, nonostante Security Defender sia ben noto da tempo, ci troviamo di fronte ad una nuova distribuzione dello stesso.

Non sorprende quindi che VT mostri un basso riconoscimento dell'eseguibile, dovuto anche al fatto che si tratta tutto o in parte solo di codice di loader e non di quello della falsa applicazione AV.

Una analisi degli hash mostra inoltre che i files scaricati variano spesso come contenuto, pratica abbastanza comune, per evitare maggiormente di essere rilevati dai reali software AV.

Vediamo ora, a conferma dei contenuti di fake AV, l'esecuzione (in vbox) di uno degli eseguibili scaricati:

Appena lanciato il file

abbiamo l'indicazione della fase di install con il download automatico del codice occorrente all'esecuzione del fake AV

e la successiva attivazione della fake scansione

Da notare come ci siano indicazioni estremamente dettagliate sulla natura del malware che sarebbe presente sul nostro PC.
Una volta terminata la scansione fake ed il rilievo di codici malevoli (in realta' inesistenti ma la cui presenza e' ben simulata)

troviamo una altrettanto dettagliata finestra con varie scelte sull'azione dell'antivirus (rimozione, messa in quarantena del file, ecc....) come accade nei reali softwares AV

Un tentativo di rimuovere il malware segnalato dara' evidentemente esito negativo

ed apparira' la proposta di registrazione del fake AV dietro relativo pagamento.

Ignorando la richiesta avremo, come succede in questi casi, sia la presenza di allerta sullo stato di 'infezione' del PC

ma anche , ad esempio all'apertura dei browser, di messaggi di avviso e blocco della navigazione per motivi di sicurezza, es. con Firefox

e con Explorer

Altri messaggi appariranno ad intervalli piu' o meno regolari per indicarci dello stato compromesso del PC

Caso abbastanza raro, abbiamo questa volta, la possibilita' di testare cosa succede in pratica attivando il fake AV.

E' stato infatti pubblicato in rete un codice di attivazione (al momento ancora valido) relativo proprio a Security Defender e che andiamo a provare.

In effetti una volta inserito il codice abbiamo la conferma dell'avvenuta attivazione del fake AV e possiamo procedere alla rimozione (simulata) del malware trovato (in realta' sempre rigorosamente inesistente')

La rimozione termina con l'indicazione di avvenuta completa bonifica del PC.

Caso particolare se reinstalliamo nuovamente il fake AV, otterremo ancora una volta l'allerta di presenza malware, con la ricomparsa di tutti i vari software malevoli che saranno cosi' ritornati ad 'infestare' il nostro PC.

Qui alcuni riferimenti a siti che trattano sia della rimozione del malware (post datato 2011)

http://www.bleepingcomputer.com/virus-removal/remove-security-defender

che della presenza attuale in rete di Security Defender che parrebbe aver trovato in questo inizio 2012 un nuovo momento di 'notorieta''.

http://siri-urz.blogspot.com/2012/01/security-defender.html

e con presente il codice usato per l'attivazione di test del fake AV.

Da notare che attivando il fake AV e' stato possibile usare l'opzione di default di un-install per i softwares in Windows, anche se sarebbe da verificare se realmente il software fake viene disinstallato o si tratti solo di una 'simulazione' di un-install.

Infatti, anche se apparentemente la disinstallazione di Security Defender e' andata a buon fine, trattandosi di software di natura malware, non e' neppure da escludere che possano essere presenti e nascoste funzioni piu' pericolose (possibile codice trojan, backdoor ecc...)

Edgar

Phishing PayPal con utilizzo di domini registrati allo scopo (18 gennaio)

2012-01-18T10:08:00.004+07:00

L'alternativa all'uso di siti compromessi per ospitare redirect a phishing o cloni di phishing, e' quella di registrare un nuovo dominio sul quale poi hostare i codici di phishing o quelli di redirect al clone della banca.

Per fare questo si possono utilizzare o servizi free (es. Altervista, molto utilizzato nei casi di phishing ai danni di banche IT a diffusione regionale) oppure servizi a pagamento di hosting (di solito a basso costo)

Tra i vantaggi per i phishers ci sono la possibilita di creare nomi di dominio ed indirizzi web ingannevoli ma anche il fatto che, non essendo 'ospiti' su siti compromessi di 'terze parti', almeno in teoria, viene garantita una maggiore permanenza online dei cloni.

Chiaramente, specialmente nel caso di servizi free, dato che chi mette online il clone od il redirect viola il regolamento del Free Hosting, la permanenza online in molti casi dura poco a causa della sospensione dell'account.

Quello che vediamo ora e' un esempio di phishing PayPal che sfrutta sia un servizio di hosting IT che un servizio free romeno per mettere online un clone in lingua inglese.
Come si nota dalle date presenti sia di registrazione dei domini che di upload dei codici di phishing si tratta di phishing attuale e tuttora attivo.

Ecco alcuni dettagli:

Questo il dominio usato per il redirect

con whois IT

e registrazione in data molto recente

L'alternativa al fatto che si tratti di dominio creato appositamente dai phishers, sarebbe l'avvenuta compromissione dello stesso, a poche ore dalla sua attivazione da parte del provider IT.
Cosa possibile ma comunque poco probabile anche alla luce dei dati del 'registrant' che sembrano piu' di fantasia che reali.

Altra obiezione al fatto che si tratti di dominio creato appositamente dai phishers e' perche' non si sia creato un nome ingannevole (di dominio), per generare un indirizzo web piu legato al phishing PayPal, ma anche in questo caso si puo' obbiettare che essendo utilizzato per il redirect la relativa url non viene praticamente visualizzata nel browser, ma si passa subito a quella finale di hosting del clone.

Sarebbe comunque interessante monitorare detto dominio per vedere se in futuro verra' usato per altre azioni di phishing anche non legate a PayPal.

Tornando al redirect, questo punta a dominio creato sfruttando un servizio free web romeno

su server

Un dettaglio della struttura del phishing mostra date di ieri (17/1)

Il clone ripropone il consueto form di acquisizione dati sia anagrafici che di carta di credito, in linea con l'attuale tendenza del phishing che vede sempre piu' diffuso il furto di credenziali di carta di credito

Il form non effettua particolari verifiche sui dati inseriti tranne che per la presenza o meno degli stessi e redige poi a reale pagina UK di PayPal.

Edgar

Verified by Visa (17 gennaio)

2012-01-17T17:47:00.003+07:00

Ricevute diverse mails che propongono un messaggio Verified by Visa e tra le quali vediamo ad esempio questa

Si tratta di mail con allegato (non htm ma .mht) che aperto nel browser mostra form

ricco di campi di input che spaziano dai dati anagrafici sino ai dati di carta di credito, password Verified by Visa ecc......

In pratica si cerca di acquisire con l'ausilio di un solo form tutta quella tipologia di dati che avevamo visto acquisire con il phishing WIND questa mattina attraverso l'uso di diverse pagine (in piu' anche la data di nascita probabilmente utile in caso di cambio password)

Il codice php di gestione del form viene hostato su dominio USA

creato in data attuale e sul quale e' presente anche una copia del form allegato in mail.

Questo un particolare del folder che ospita alcuni files.

Edgar

Ancora phishing Cassa di Risparmio di Bolzano (17 gennaio)

2012-01-17T14:36:00.003+07:00

Poche righe per informare delle numerose mail di phishing ricevute in data odierna

e tutte ai danni di Cassa di Risparmio di Bolzano

Questo il dettaglio del messaggio in mail diverso da quello di ieri

con link a redirect sempre ospitato sul medesimo sito visto ieri.

Al momento il clone

e' invece hostato nuovamente su dominio 'USA e getta' creato in data attuale.

Una analisi degli IP riferiti a chi visita il sito di phishing mostra nuovamente il 'solito' ip est europeo di ieri come primo IP registrato ed altri IP tra cui chiaramente alcuni IT.

Come al solito ci si aspettano cambiamenti sull'hosting del clone onde evitare black-listing o la messa off-line del sito che ospita il clone.

Da notare, come gia' accaduto ieri, che pur avendo ricevuto diverse mails nelle prime ore della giornata, i link presenti puntavano ad old dominio usato in passato dai phishers e non piu' online, per poi diventare attivi da poco.

Puo trattarsi semplicemente di work in progress da parte dei phishers o, come accenna anche Denis Frati in un suo post, ,di una tecnica per attivare i cloni solo al momento che le mail sono giunte a destinazione, per evitare quindi la messa off-line preventiva delle pagine di phishing.

Inoltre, utilizzando sempre il medesimo indirizzo di redirect, anche tutte le mails inviate in precedenza nella giornata di ieri sono attualmente perfettamente attive nel linkare al nuovo clone Cassa di Risparmio di Bolzano.

Edgar

'WIND Ricarica Gratuita per te!!' Un nuovo caso di phishing altamente ingannevole. (17 gennaio)

2012-01-17T09:17:00.006+07:00

Lo scopo degli attacchi di phishing e' di solito legato all'acquisizione di dati personali relativi ad accesso a conti bancari on-line, al furto di credenziali di carta di credito, al furto di altri dati personali riservati, come indirizzi mail (compreso la password di accesso), dati anagrafici della persona bersaglio del phishing, ecc.... che potrebbero essere utili ai phishers per sviluppare un successivo attacco.

Quello che si nota, e' che una mail di phishing 'classica' essendo generalmente riferita ad una singola banca od azienda, ha dei limiti relativamente alla possibilita' di riuscita dell'attacco stesso (evidentemente se non sono cliente della banca target non saro' interessato a seguire i 'consigli' presenti in mail) ed anche i dati da acquisire si limitano,di solito, a credenziali di carta di credito (molto di piu negli ultimi mesi che in passato), o di accesso al conto online.... (pratica ultimamente contrastata attraverso dispositivi hardware di verifica accesso al conto online).

Oltre al fatto che il numero di possibili bersagli offerto da un fake messaggio che prenda di mira una compagnia di telefonia mobile e' certamente molto piu' ampio, (milioni di utenti), una azione di phishing come quella che vedremo, si sviluppa, per sua stessa natura, con la richiesta sia di dati personali (in primo luogo il numero di telefono ma anche indirizzo, cod.fiscale o partiva IVA ecc... ) e con l'acquisizione di numeri di carta di credito relativamente al pagamento on-line della ricarica telefonica.

Un phishing quindi che spazia su un ampia scelta di possibili dati sensibili da acquisire e che puo' essere facilmente strutturato in maniera altamente ingannevole.

Vediamo alcuni dettagli:

Questa una delle mail ricevute

con semplice testo in buon italiano e con logo WIND acquisito da sito IT che si occupa di tariffe di servizi telefonici
Questo un dettaglio dei riferimenti ai nomi dei files logo gif utilizzati dal messaggio e nel reale sito

Una analisi dell'header in mail presenta anche riferimenti ad IP italiani

Il clone WIND linkato in mail utilizza hosting su server USA e dominio creato in data attuale per ospitare i fakes forms di richiesta dati (registrazione dominio a nome di italiano anche se dato non significativo)

Ecco invece alcuni dettagli dell'accurato form di richiesta dati che presenta nella prima parte quella del numero telefonico e di una mail di riferimento (dato utile ai phishers per acquisire eventuali nuovi indirizzi mail se diversi da quello usato nel phishing attuale)

e

Si passa poi alla richiesta di dati anagrafici e fiscali

per proseguire (dopo simulazione di ritardo dovuto alla connessione di trasferimento dato in corso) alla richiesta dei dati di carta di credito (ampia scelta)

Da notare come un confronto del presunto numero di ordine in due differenti sessioni di link al fake sito Wind mostri identico valore !!!

Una volta acquisiti questi dati, viene richiesta anche la password relativa al servizio 'Verified by VISA'

permettendo cosi' ai phishers di completare l'acquisizione di una notevole quantita' di dati personali sensibili.

Si passa poi allo screen finale dove si conferma la ricarica free e l'invio all'indirizzo mail indicato nel form, di conferma della ricarica

Successivamente si viene rediretti al reale sito WIND

Un phishing quindi altamente ingannevole e che presenta un livello di dettaglio di acquisizione dati personali estremante elevato.

Anche se probabilmente alcuni dati di chi cade nel phishing potrebbero essere richiesti solo per aumentare la natura ingannevole del sito, non e' neppure da escludere che gli stessi servano poi per ulteriori azioni ai danni di utenti Wind.

Come gia accaduto altre volte uno dei pochi 'punti deboli' di questo attacco potrebbe essere l'indirizzo web utilizzato per il fake sito WIND che non ricorda quello del reale dominio Wind.

Una ragione in piu' per verificare sempre accuratamente l'indirizzo web a cui si viene linkati da mail dubbie e possibilmente anche l'IP number relativo al sito a cui si e' connessi.

Edgar

Continua il phishing ai danni della Cassa di Risparmio di Bolzano (16 gennaio) [aggiornato ore 18.30 thai]

2012-01-16T17:34:00.007+07:00

A distanza ormai di qualche giorno dalla comparsa di un phishing ai danni di Cassa di Risparmio di Bolzano, abbiamo nuovamente online un clone ospitato, in un primo momento su servizio free Altervista

per passare poi, nel corso della giornata, su servizio USA di hosting a basso costo molto utilizzato in passato

Una analisi del traffico IP sul server USA mostra in massima parte indirizzi di provenienza italiana a parte il consueto est europeo.

La cosa 'folcloristica' rispetto all'IP romeno estratto dai log e' che, geo-localizzandolo otteniamo

che ricorda molto da vicino un articolo apparso su Le Monde e riproposto da ANSA :

“.......... La capitale mondiale delle truffe via Internet si trova in Romania, ai piedi dei Carpazi: e' Ramnicu Valcea, meglio nota tra i cybercriminali come 'Hackerville'. Lo racconta il quotidiano francese Le Monde, che ha incontrato gli abitanti di questa cittadina immersa nel verde, ben poco fieri del motivo per cui e' diventata celebre. ''Ramnicu Valcea e' senza dubbio la citta' romena piu' conosciuta negli Usa - racconta Stelian Petrescu, professore di geografia - gli americani non ............ (da Ansa it)“

Le numerose mail ricevute nelle prime ore della giornata, quando in Italia era ancora notte,

hanno questo tipico layout

e puntano tutte a redirect hostato su

C'e' da rilevare che al momento della ricezione dei messaggi, il redirect non era ancora stato attivato, cosa che e' avvenuta dopo qualche ora.

In effetti anche una analisi dei dati presenti sulla registrazione del dominio free Altervista mostrano che gia' da ieri era stato attivato l'account

Edgar

Phishing PosteIT attraverso il 'solito' bonus (16 gennaio)

2012-01-16T13:23:00.004+07:00

Il 'bonus' in denaro nei messaggi di phishing ai danni di PosteIT e' sicuramente un 'classico' che e' presente in rete ormai da anni.

Questa l'odierna mail

che vede un header con questi IP (uno IT)

Il redirect e hostato su

e punta a sito UK anche se con whois USA (sito di ricambi per moto), che utilizza

per la gestione del catalogo e delle vendite.

Un ricerca in rete evidenzia diverse vulnerabilita' per questa piattaforma di e-commerce, e non e' escluso che proprio una di queste sia stata usata per compromettere il sito,

In effetti nel folder principale dell'applicativo troviamo la presenza di shell php utilizzata probabilmente dai phishers.

Questa la struttura del folder che mostra anche un KIT relativo al suddetto phishing PosteIT

Kit che analizzato evidenzia data attuale per il codice php di invio attraverso mail di dati eventualmente acquisiti.

Questo invece, un dettaglio del folder sul sito compromesso

che ospita il clone PosteIT dal layout noto (notate le date dei files al 2007 tranne il php)

Il file php on-line sul sito compromesso mostra identici indirizzi mail a quelli del KIT, per l'invio delle credenziali sottratte dal phishing (da notare che le mail a cui vengono inoltrati i dati sono 2 e presentano nominativi italiani anche se questa cosa non e' particolarmente significativa)

Sempre lo steso php nella parte iniziale esegue dei controlli abbastanza approfonditi sui dati immessi come ad esempio quello che vediamo relativo a differente marchio di carta di credito.

Edgar

Un bell'esempio di phishing multiplo su sito USA compromesso con utilizzo di probabile vulnerabilita' TinyMCE (16 gennaio)

2012-01-15T23:40:00.005+07:00

Si tratta di sito USA

che utilizza TinyMCE (da Wikipedia : …...... also known as the Tiny Moxiecode Content Editor, is a platform-independent web-based JavaScript/HTML WYSIWYG editor control, released as open source software under the LGPL by Moxiecode Systems AB.) e che presenta online ed utilizzabile senza restrizioni il gestore delle immagini

Come si puo' notare e' possibile l'upload

senza che venga richiesta una password di accesso ma non solo.
Esiste, infatti, a possibilita' di caricare sul sito files con doppia estensione (ad esempio php.gif), che, nei folder proposti parrebbero poter essere eseguiti senza problemi.

A riprova del possibile uso di questa tecnica, troviamo una shell php probabilmente uploadata da phishers utilizzando l'image manager

Una analisi approfondita dei contenuti rivela oltre che il clone PayPal

segnalato in rete, e da cui era iniziata l'analisi del sito, anche diversi altri cloni che parrebbero avere date recenti di attivazione

Questo il clone Wester Union

mentre qui vediamo quello relativo a Chase

Sono inoltre presenti molti files zip contenti kit di phishing utilizzati per attivare i vari cloni

Come si vede, ancora una volta vengono sfruttate possibilita' offerte da programmi che permetto la gestione dei contenuti da remoto e che se male o per niente configurati possono essere sfruttati dai phishers per la gestione dei relativi cloni delle banche da colpire.

Edgar

Continua il phishing ai danni della Cassa di Risparmio di Bolzano (13 gennaio)

2012-01-13T17:29:00.007+07:00

Nella giornata di ieri segnalavo un attacco phishing a Cassa di Risparmio di Bolzano che vedeva un redirect attraverso codice su sito vietnamita e clone su dominio Altervista creato per l'occasione.

Il phishing aveva pero' corta durata in quanto non il sito di hosting del clone ma quello che ospitava il redirect veniva bloccato rendendo quindi inoperativi proprio i link presenti nei messaggi mail di phishing.
Conseguenza di questo appare adesso on-line, a fronte di nuove mails di phishing, un sito di redirect a clone C. R. Bolzano ospitato sempre su sito vietnamita ma con IP diverso da ieri

e sempre con Innova Studio Asset Manager come probabile mezzo per uploadare i codici di supporto al redirect

Questo un dettaglio della data recente del file

La cosa particolare e' che, come hosting del clone

veniva, sino a qualche minuto fa, utilizzato sito compromesso IT
che, stranamente, non presentava tracce di Asset Manager Innova Studio o di altro file manager di solito usato in questi casi.

La cosa e' comunque durata poco, in quanto si e' gia' passati a clone ospitato su domino free Altervista

la cui registrazione risale ad ieri, come si nota dallo screenshot dei dettagli dell'account creato dai phishers.

Il fatto che in questi casi gli account siano creati, come visto altre volte, un giorno o piu' prima di mettere online il phishing fa pensare che ci sia una pianificazione abbastanza accurata di come procedere nell'azione di phishing e i nuovi domini non siano creati, es nel caso di Altervista, al momento che viene rilevato un problema (messa offline, balck-listing, sospensione dell'account ecc..) ma ben prima.

Capita anche spesso di trovare codici di cloni e redirect on-line ma che non sembrano ancora entrati a far parte di segnalazioni di phishing, come se in pratica fossero 'parcheggiati' in attesa di attivazione.

Una possibile spiegazione potrebbe anche essere il tempo che decorre dall'uso di mailers per l'invio di messaggi di phishing e la ricezione delle stesse da parte degli utenti internet, cosa che potrebbe richiedere per la diffusione dello 'spam', in caso di grandi liste di indirizzi mails, un certo tempo.

Edgar

Phishing Banco Azzoaglio (13 gennaio)

2012-01-13T12:19:00.007+07:00

In atto ormai da parecchi giorni, continua sostenuto il phishing ai danni di Banco Azzoaglio (ne ha scritto in dettaglio Denis Frati sul suo blog).
Era quindi probabile 'prima o poi', considerato i molti giorni di attacco a Banco Azzoaglio, ricevere un messaggio di phishing ai danni di questa banca IT a diffusione regionale

Ecco la mail

con logo della banca direttamente linkato dal sito legittimo della stessa

Questi invece gli IP nell'header mail

Il link presente, punta a sito vietnamita ampiamente utilizzato in passato per azioni di phishing (vedi esempio questo phishing ai danni di Banca MonteParma del 16 dicembre 2011) e con il 'solito' Asset Manager Innova Studio che permette di uploadare i codici di supporto al redirect

Si possono notare sia il codice di redirect usato nel link in mail che un file .php con codice che punta sempre al medesimo clone Banco Azzoaglio

Il clone e' ospitato su sito con whois

con Asset Manager

che ha permesso l'upload del codice di phishing Banco Azzoaglio

Il php utilizzato mostra indirizzo mail che, anche questa volta ( ma era praticamente scontato vista la struttura del phishing) e' attribuibile sempre ai soliti phishers (R-team)

Lo stesso sito russo appare coinvolto, in passato, anche in altre azioni di phishing non legate probabilmente a R-team ma eseguite da altri phishers come denotano alcune segnalazioni Phishtank

Edgar

Phishing Lottomatica. Molti i punti in comune con i recenti casi Banca Reale e Poste IT (12 gennaio)

2012-01-12T22:10:00.007+07:00

Ritorna il phishing ai danni di Lottomatica tramite questa mail

il cui messaggio e' interamente costituto da immagine png.

Caso particolare, si tratta di phishing la cui tecnica e' praticamente uguale a quella proposta in almeno altre due occasioni negli ultimi giorni.

Questo infatti il codice di redirect

identico quello rilevato in phishing Banca Reale il 9/1

e PosteIT il 3/1

Naturalmente cambiano i link al clone che comunque nel caso odierno e' hostato sul medesimo dominio compromesso visto per Banca Reale

A ulteriore conferma della probabile sorgente comune dei phishing, abbiamo l'utilizzo di 2 siti (creati in data odierna) sia per il redirect

che per il clone

e dei quali vengono attivati due sottodomini ma che propongono diverso IP rispetto ai rispettivi domini di cui fanno parte.(cosa gia' vista nei 2 casi citati in precedenza)

Ecco i record DNS realtivi al redirect

e al clone

Per di piu', il sito compromesso che ospita il clone puntato dal sottodominio,

e' lo stesso gia' visto nel recente caso Banca Reale.

Oltre che a tecnica comune per differenti phishing ai danni di banche IT potrebbe quindi trattarsi, in questo caso, anche degli stessi phishers dietro ai recenti attacchi PosteIT, Banca Reale e Lottomatica

Edgar

Phishing Cassa di Risparmio di Bolzano (12 gennaio)

2012-01-12T14:25:00.003+07:00

Tornata nel mirino dei 'soliti' phishers (almeno da quanto si puo' dedurre dalle modalita' operative utilizzate per questo phishing) la Cassa di Risparmio di Bolzano.

La gestione del phishing vede il consueto redirect gestito attraverso l'uso di Asset Manager Innova Studio

presente e raggiungibile on-line senza restrizione, su whois vietnamita.

Una analisi dell'IP mostra che sempre sul medesimo server, gia' il 27 luglio 2011, era stato utilizzato un altro sito .VN con Asset Manager per gestire un phishing banca Monte Parma mentre il 28 luglio, un nuovo redirects a Banca Friuladria - Credit Agricole

Questo un dettaglio del db dei post pubblicati sul blog con i relativi dati:

E' evidente che, come accade spesso, una volta individuato un gruppo di siti, di solito sul medesimo server , e tutti che utilizzano Asset Manager, i phishers possano utilizzare queste risorse di hosting free anche a distanza di mesi, scegliendo un nuovo sito per il redirect.

Al momento il link presente redirige a dominio creato appositamente su servizio free web di Altervista.
Una occhiata alla data di registrazione mostra quella di ieri per la creazione del clone

con questo classico layout fake di Cassa di Risparmio di Bolzano.

E' altamente probabile che nelle prossime ore assisteremo, a meno che non venga messo off-line il redirect su sito VN, ad una modifica dell' indirizzo finale di phishing onde evitare il blocco del clone e/o la sua eventuale comparsa in blacklist.

Edgar

Phishing UniCredit (11 gennaio)

2012-01-11T23:58:00.005+07:00

Ricevuta mail di phishing ai danni di Banca UniCredit

con header

Il form allegato

dimostra ancora una volta la cura posta nel layout di cloni ai danni di UniCredit anche se questo phishing, utilizzando solo un form allegato, non raggiunge i livelli di complessita' visti in precedenti attacchi.

Il codice php linkato dal form

e' hostato su sito compromesso con whois

Sul medesimo sito troviamo oltre al codice denominato v1.php anche un php denominato v.php e che puntano entrambi al reale sito UniCredit.

Sempre sul medesimo sito compromesso, a riprova di un uso esteso dello stesso da parte dei phishers abbiamo anche un php

che redirige a pagina in tedesco di Gruppo di Casse di Risparmio

segno di probabile attacco ad altra o altre banche.

Edgar

Phishing “ Verified by VISA” (11 gennaio)

2012-01-11T10:25:00.004+07:00

Ancora attacchi di phishing a VISA che, come vedremo, sono legati anche ad attacchi CartaSi.
Questa la mail

con allegato form dal layout noto ed utilizzato da tempo

L' header in mail presenta primo IP come italiano

Il codice php linkato dal form

e' ospitato su sito (whois canadese) compromesso, insieme ad un codice di form dal layout identico a quello allegato alla mail

Interessante la presenza sullo stesso sito di

che ospita un phishing CartaSi tuttora attivo

Una ricerca in rete permette anche di rilevare un altro clone di phishing CartaSi, ma attualmente i relativi folders ed il clone non sono piu' raggiungibili.

Come si nota dalla home del sito compromesso abbiamo un layout con segnalazione di errori ed anche la stessa pagina home, in cache Google risulta non correttamente visualizzata, facendo pensare a sito non piu' attivo che ha consentito e consente ai phishers di hostare i cloni CartaSi e VISA.

Edgar

Phishing 'Verified by VISA” (10 gennaio)

2012-01-10T17:53:00.004+07:00

Insieme a PayPal ed eBay, Visa e' un altro obbiettivo molto presente in attacchi di phishing.

Questa l'attuale struttura di folder incluso all'interno di sito ampiamente compromesso, e che mostra alcuni particolari dell'attuale phishing.

In questo screenshot, invece, l'attuale homepage del sito compromesso

che, da una analisi della cache Google, parrebbe essere stato preso di mira gia' da qualche giorno, senza che chi lo amministra sia intervenuto. (sito non piu attivo ?)

Il dettaglio del clone VISA mostra testo in italiano ma con alcuni menu' e nomi di campi di input del form in lingua francese.

Una analisi del source delle pagine clone, oltre ad evidenziare che le stesse presentano il codice interamente offuscato,

conferma, deoffuscandole, sources originari da sito VISA .CH in lingua francese,

Questa la sequenza delle pagine clone proposte, sulle quali viene effettuato solo una verifica della presenza dei dati nei vari campi di input ma non della loro correttezza formale come visto altre volte (n.carta di credito, ecc....)

da cui

Una volta acquisiti i dati si viene reindirizzati al reale sito VISA

Edgar

Phishing Banca Reale (9 gennaio)

2012-01-09T21:54:00.007+07:00

Ricevuta mail di phishing Banca Reale

Contrariamente ai consueti utilizzi di Asset Manager questo caso presenta l'uso di due siti creati allo scopo e che a loro volta vengono utilizzati per creare sotto-domini che puntano a differenti Ip appartenenti a siti compromessi.

Tra l'altro, come vedremo, il sito utilizzato per l'hosting del clone ha incluso un codice php usato in passato per phishing CartaSi ed attualmente ancora attivo.

Questi i dns relativi al redirect

che mostrano sito creato in data odierna

e redirect attivo su sotto-dominio dello stesso con differente IP

L'implementazione del phishing, l'uso di redirects tramite sotto-domini e la particolare struttura del codice di redirect presente

ricordano questo phishing PosteIT di inizio 2012

Anche l'hosting del clone come si vede dai DNS

usa dominio
e sotto-dominio che propone diverso IP con incluso anche questo php, servito in passato a supporto di phishing CartaSi

Questo il clone Banca Reale

con relativa pagina di richiesta pin

e che redirige poi al reale sito Banca Reale

Edgar

Phishing CartaSi (9 gennaio)

2012-01-09T18:09:00.003+07:00

Ancora phishing ai danni di CartaSi segnalato in rete e che vede il clone ospitato su sito compromesso con dominio .nl ma con whois

La struttura del sito rivela la presenza di folder con contenuti php tipici di shells con accesso anche attraverso password, ed alcuni subfolders

utilizzati sia per hostare il phishing CartaSi ma anche kit di phishing con data recente

ai danni di RBC ( Royal Bank of Canada. - da Wikipedia)

Per quanto si riferisce al clone CartaSi questo appare con layout non recente e con pagina di form di acquisizione credenziali

che utilizza codice php di invio dati, ad indirizzo mail differente da quelli visti nei recenti attacchi a CartaSi

Sono inoltre presenti mailer

ed un altro codice php collegato a probabile phishing AOL o Yahoo

Edgar

Siti IT compromessi con inclusione di script pericolosi (7 gennaio)

2012-01-07T11:51:00.011+07:00

AVVISO IMPORTANTE! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di pagine e siti che distribuiscono eseguibili MALWARE, tra l'altro, anche poco riconosciuti dai software AV.

Una analisi Webscanner su siti trovati con reverse IP di

evidenzia che praticamente tutti i domini e relativi sotto-domini presenti

hanno incluso (in homepage ma anche in altre pagine) il codice offuscato che vediamo in dettaglio

Una volta de-offuscato, possiamo notare link a sito su dominio ......osa.pl

In realta' possiamo facilmente identificare il dominio osa.pl come appartenente a

che evidenzia un servizio di free web domains ed alias polacco.

Questo un dettaglio del sito in questione

con evidente uso del nome di dominio osa.pl

Detto dominio parrebbe essere molto utilizzato per 'mascherare' distribuzione malware come denota ad esempio Norton Safe Webscanner

Il reale IP puntato dall'indirizzo presente nello script e'

con pagina

e codice

Una analisi del source consente di individuare due download di files .jar

che una volta scaricati passiamo a Virus Total.

I risultati dimostrano che entrambi i files

ed

sono identificati come malware anche se in maniera estremamente bassa come succede spesso in questi casi dove i codici malevoli possono essere aggiornati in tempo reale per evitare o ridurre il riconoscimento da parte dei software AV

Qui invece alcuni dettagli della relazione tra IP russo e dominio osa.pl coinvolto

Edgar

Ingannevole phishing PayPal IT(6 gennaio)

2012-01-06T19:23:00.007+07:00

Ecco l'odierna mail che si dimostra abbastanza ingannevole considerata la cura posta dai phishers nel creare le pagine clone PayPal ed in particolare anche quelle che simulano la connessione al servizio e l'eventuale richiesta di dati personali di conto.

Il testo in mail informa del blocco del nostro account, riportando date recenti (quella di ieri) e propone come soluzione diversi links che puntano, naturalmente, al falso sito PayPal

Vediamo alcuni dettali:

Il link in mail richiama un redirect ospitato su sito compromesso con whois

Sempre sullo stesso sito troviamo codici php

tra cui shell (protetta da password) e programma mailer

Il sito clone, a cui si viene rediretti, e' ospitato su sottodominio appartenente ancora a dominio .RO

sottodominio che in realta' rivela IP relativo a server canadese

come si nota anche da una analisi dei records DNS

La homepage di phishing, identica all'originale login PayPal, propone sito clone in italiano che verifica sommariamente i dati inseriti

e che pone particolare cura nel simulare l'attesa per la connessione al form di login, attraverso questa pagina animata

Il lungo form di richiesta dati

nel caso si cliccasse sulle opzioni di visualizzazione dei dettagli del conto, propone anche una fake segnalazione di 'dati non disponibili al momento' cercando di dare una parvenza di autenticita' al sito clone

Anche al termine della sessione di input dei dati verra' proposta una pagina di conferma dell'avvenuta riattivazione del nostro account

nonche' una fake pagina finale con possibilita' eventuale di riconnettersi al sito PayPal

che naturalmente, questa volta, sara' quello reale.

Un phishing quindi ingannevole e ben curato nei dettagli che vede forse solo, come 'lato debole' dell'attacco l'uso di indirizzi WEB per niente ingannevoli, che dovrebbero 'insospettire' chi seguisse i links in mail, rivelando la natura fraudolenta delle pagine proposte.

Edgar

Siti IT compromessi. (agg.6 gennaio)

2012-01-06T10:19:00.006+07:00

Ritorno brevemente sulla presenza online di siti IT compromessi attraverso alcune odierne segnalazioni.

Questo un report Webscanner

che evidenzia che praticamente tutti i siti rilevati con reverse IP su

presentano la homepage sostituita da

Come si vede dalla URL dello screenshot abbiamo anche un sito relativo a protezione civile del Nord Italia che e' stato colpito da questa azione di 'defacement' , cosa che mostra una certa pericolosita' dell'attacco in quanto potrebbe trattarsi di sito utilizzato per avvisi ed allerta in caso di calamita' naturali ecc....

Questi invece alcuni siti Comunali toscani con inclusa pagina di hacking:

e whois

ed anche

con whois

Decine di siti hostati su

presentano invece una inclusione di semplice file immagine jpg.

Un uso del tool Webscanner permette il download del file immagine relativamente ad ogni sito individuato da reverse IP, dimostrando due differenti JPG utilizzate pur con il medesimo nome di file

In dettaglio abbiamo

ed anche

Interessante notare che si tratta ancora una volta di siti che usano un versione datata e vulnerabile di Dot Net Nuke attraverso 'gallery remote file upload without authentication' che permette l'accesso da remoto dell'interfaccia di amministrazione dei contenuti e l'upload di differenti files (txt,jpg ..) anche con doppia estensione es. php.jpg

Esaminando l'interfaccia di upload contenuti di uno di questi siti vediamo come sia presente anche altro file jpg

come

cosa che denota probabili precedenti attacchi.

Il fatto che da tempo (ormai anni) siano online siti con problemi DotNetNuke e' anche spiegabile con le modalita' di attacco specifiche per questo tipo di hacking, considerato che in generale si tratta di inclusioni di files testo o immagine in folders non direttamente coinvolti nel layout on-line del sito colpito e quindi e' molto probabile che chi lo amministra, non sia neanche a conoscenza dell'attacco.

Ricordo comunque che sono molti i siti che usano versioni vulnerabili di DotNetNuke che mostrano la presenza non solo di innocui file testo od immagine, ma di codici php, asp (shells) perfettamente attivi:

e che permettono di agire sul sito interessato ma, in alcuni casi, anche di poter 'navigare' tre i vari siti hostati sul server in questione.

In questi casi si tratta di attacchi che potrebbero, ad esempio, essere sfruttati come supporto ad azioni di phishing, redirects a phishing, SEO poisoning ma anche distribuzione di links a malware o malware... ecc......

Edgar

Nuova mail di phishing CartaSi con interessanti conferme sull'attivita' dei phishers (3 gennaio)

2012-01-03T20:36:00.004+07:00

Per terminare la giornata, che ha visto la ricezione e l'analisi di diverse mails di phishing legate sia ad attacchi a CartaSi che PostePay (vedi i vari post odierni) abbiamo questo ulteriore messaggio di posta elettronica che propone l'ennesimo phishing CartaSi

Il layout e' simile ad altre mails fake ricevute, ma e' interessante analizzare in dettaglio, come il form allegato gestisca i dati eventualmente immessi da chi cadesse nel phishing

Il codice php linkato al form e' infatti hostato sullo stesso sito compromesso visto in mattinata nel caso di phishing PostePay.

Una analisi del folder utilizzato attualmente per CartaSi mostra sia il file php che un file di elenco credenziali sottratte dal phishing ed entrambi con data odierna.

Come conseguenza del fatto che siamo sempre sullo stesso sito visto in mattinata a supporto di phishing PostePay non c'e' da sorprendersi se l'indirizzo mail codificato nel php sia lo stesso di questa mattina.

E' evidente che avendo a disposizione un sito compromesso che permette facilmente di uploadare tramite shell i contenuti di phishing, il phisher ne ha approfittato per creare diversi attacchi con obiettivo sia PostePay che CartaSi.

Altra analogia riscontrabile e' che entrambi i phishing vedono oltre all'invio di credenziali sottratte anche la scrittura su file delle stesse.

Edgar

Phishing CartaSi (aggiornamento 3 gennaio)

2012-01-03T17:53:00.004+07:00

Insieme a PosteIt si puo' sicuramente affermare che CartaSi e' uno degli obiettivi preferiti dai phisher in questi ultimi mesi.

Ecco quindi un altro attacco a CartaSi che segue quello analizzato sul blog il 1 gennaio.

Si tratta di sito compromesso sviluppato ancora una volta in WordPress che presenta incluso un clone di phishing CartaSi costituito dall'immancabile login e dal form di acquisizione dati relativi a carta di credito.

Come si vede visualizzando la tipica struttura dei folders di phishing CartaSi

abbiamo date attuali per quei codici php che si occupano di trasferire via mail al phisher i dati eventualmente catturati dal fake form

Gli indirizzi delle 2 mail di invio al phisher dei dati sottratti, non sembrano essere gia' stati rilevati altre volte in precedenti analisi di phishing CartaSi ed e' probabile che si tratti di nuovi attacchi.

In ogni caso una dimostrazione di intensa attivita' di phishing che tende sempre piu', come abbiamo visto negli ultimi mesi, ad acquisire credenziali di carta di credito piuttosto che dati di login di accesso a conti bancari online.

Edgar

Ulteriore phishing PosteIT (3 gennaio)

2012-01-03T13:49:00.002+07:00

Per non smentire il fatto che i servizi internet di PosteIT sono tra i piu' colpiti da azioni di phishing, ecco arrivare una ulteriore mail che vediamo in dettaglio

Si tratta di messaggio composto da unica immagine

hostata sul medesimo dominio che ospita il redir al phishing (notare sottodominio su server cinese)

Sia il dominio di redirect che quello che ospita il clone PosteIt presentano data attuale di registrazione

In linea con le procedure di phishing utilizzate spesso per attacchi a poste IT, e che si differenziano molto dal tradizionale attacco con sito compromesso come visto ad esempio nel post precedente, in questo caso abbiamo sia di domini creati allo scopo ma anche l'uso di differenti sottodomini ospitati su diversi servers, come vediamo da questo dettaglio

Il sistema cosi utilizzato rende sicuramente piu' difficoltoso il blocco dei siti che ospitano i redirects nonche' i cloni di phishing garantendo una maggiore permanenza On-line degli stessi.

Edgar

Nuovo anno, vecchio phishing. Phishing PostePay - PosteIT 2012 (3 gennaio)

2012-01-03T09:36:00.004+07:00

Cosi' come era terminato il 2011 (vedi questo post) anche l'inizio 2012 propone nuovamente un phishing PostePay sempre attribuibile ai medesimi phishers

Gia' dal layout mail

si nota che si tratta delle medesime azioni di phishing viste numerose a fine anno, che utilizzano form allegato al messaggio mail

e codice php di gestione credenziali acquisite hostato su sito compromesso.

Questo un dettaglio della homepage del sito con whois usa che si occupa di avvenimenti sportivi

e che mostra nel folder utilizzato dalla chat

alcune shells php usate probabilmente per la gestione del phishing e che parrebbero essere legate a qualche vulnerabilita' sfruttata relativa a detta chat.

Il file php che viene utilizzato per acquisire i dati personali eventualmente digitati nel form allegato alla mail fake di PostePay

mostra sempre la medesima mail di invio credenziali sottratte ed anche la scrittura di un file testo con i dati acquisiti.

Si tratta di date recenti per i records presenti e con Ip Est Europeo per il primo (probabile test da parte del phisher del corretto funzionamento del codice php)

sino a

con data recente.

Edgar

Phishing CartaSi in compagnia di un interessante KIT di phishing multiplo ai danni di banche inglesi (1 gennaio )

2012-01-01T20:01:00.005+07:00

Si tratta di questa segnalazione in rete di mail di phishing CartaSi con allegato form

In realta' su Phishtank appare la stessa URL con link al codice PHP di gestione dei dati inseriti nel form fake gia' in data 15 dicembre.

Si tratta quindi di un phishing attivo da tempo e che utilizza un sito koreano

per ospitare il php, che gestisce appunto l'invio via mail dei dati eventualmente acquisiti.

Un ricerca sul sito compromesso mostra una semplice shell che permette di visualizzare anche il contenuto del file php collegato al form di phishing

Piu' interessante e' la presenza di un kit di phishing (formato ZIP)

abbastanza particolare in quanto e' costituito in realta ' da una lunga serie di pagine che simulano diverse banche inglesi ed anche una pagina dedicata a generiche carte di credito.

Si tratta di attacco phishing gia' osservato altre volte in rete (dettagli in questo post) che, attraverso un clone del servizio inglese di pagamento imposte HMRC propone una serie di cloni relativi a numerosi istituti bancari UK (ma c'e' anche una banca spagnola) e form per acquisire dati relativi a diverse carte di credito.

Ecco un dettaglio del KIT in formato zip

ed un particolare del codice relativo ad una delle banche prese di mira.

Le date dei codici php dimostrano che molto probabilmente il kit e' stato attivato a fine 2011.

Edgar

Phishing ai danni di banche IT a diffusione prevalentemente regionale. Aggiornamento phishing Banca Reale (1 gennaio )

2012-01-01T14:27:00.003+07:00

Poche righe per aggiornare il post di ieri sul phishing Banca Reale.

In linea con i 'consueti' metodi applicati dai phishers il link gestito dal redirect e' cambiato e punta ora a differente folder, rimanendo sempre sul medesimo sito che ospita l'Asset Manager Innova Studio gia' visto ieri.
Si tratta di una consueta procedura atta ad evitare eventuali blacklist dell'indirizzo del clone di phishing.

Questa l'attuale struttura dove vediamo il nuovo nome della pagina home (login) del clone Banca Reale

mentre per quanto si riferisce ai codici php di invio credenziali sottratte, risultano sempre i medesimi indirizzi mail utilizzati ieri. (notare sempre la doppia estensione)

L'estensione presente come php.pgif serve ad evitare il blocco dell'upload con Asset Manager che riconosce l'estensione php come 'pericolosa', ma non files con doppia estensione php.pgif che vengono caricati senza problemi
Chiaramente i files cosi ' ridenominati ', una volta fatto l'upload possono venire eseguiti quanto un normale file php permettendo sia l'uso di shells remote che di codici php a supporto dei forms di phishing.

Edgar

Phishing ai danni di banche IT a diffusione prevalentemente regionale (31 dicembre)

2011-12-31T09:16:00.006+07:00

Anche per fine anno troviamo on-line un clone di phishing ai danni di banca IT e sempre, molto probabilmente, gestito dagli stessi personaggi che da tempo attaccano banche IT a diffusione prevalentemente regionale.

Si tratta di phisihng Banca Reale di cui vediamo lo screenshot del clone

Questo il testo della mail

con link che punta al consueto redirect gestito dall'immancabile (nel caso di questi attacchi di phishing a banche IT) Innova Studio Asset Manager

su sito vietnamita

Il redirect punta a clone Banca Reale

su sito

Anche in questo caso Innova Studio Asset Manager che ha permesso l'upload sia dei codici del clone che alcune shells

Da notare come anche i codici php legati al form di phishing siano stati offuscati nel nome ridenominandoli in maniera leggermente diversa dal solito xxxx.php.pgif

Ecco la struttura del folder che ospita il clone

i cui codici php presentano indirizzo mail di invio credenziali eventualmente sottratte, leggermente variato rispetto al noto indirizzo mail di R-team (vedi precedenti posts)

Edgar

La capitale degli hacker? E' in Romania. Notizia ANSA (30 dicembre)

2011-12-30T12:05:00.006+07:00

Ansa.it pubblica un articolo che fa' riferimento a quello comparso sul noto quotidiano francese Le Monde il 29/12. “Les pirates roumains d'"Hackerville" tiennent tete aux polices du monde entier "

A parte alcune note 'folcloristiche' su "Hackerville" l'articolo evidenzia una realta' ben nota.

Che il phishing sia, in moltissimi casi, di provenienza est europea ed in particolare romena e' indubbiamente vero, se guardiamo i numerosi casi, anche rilevati su questo blog, di indirizzi internet e siti clone con IP romeni coinvolti in azioni ai danni di banche IT.

Qui il link alla notizia Ansa mentre qui il link all'articolo sul sito di Le Monde.

Edgar

Linkedin e fake mails con link a pharmacy. Interessante uso di Wayback Machine (30 dicembre)

2011-12-30T11:09:00.005+07:00

Ricevo una segnalazione da parte di un lettore del blog (attraverso il db segnalazioni) di numerose mails di spam ricevute, che simulano una mail di notifica messaggio personale, da parte di Linkedin (LinkedIn e' un servizio di social networking in rete impiegato principalmente per la rete professionale.(da Wikipedia) )

Anche da parte del sottoscritto sono state ricevute alcune mails di cui vediamo un dettaglio

e che presentano layout che vuole simulare una reale comunicazione Linkedin.

Questo un dettaglio dell'IP dell'header in mail

I link puntano a redirects ospitati su siti compromessi

che a loro volta redirigono a sito attualmente Off-line ma che parrebbe essere comunque legato a prodotti di pharmacy

Da notare come i siti che hostano il redirect siano numerosi.

Tra questi ne troviamo uno che merita una analisi piu' approfondita:

Attualmente la homepage risulta assente, ma ad una analisi piu' accurata si scopre che e' comunque attivo un programma di statistiche che mostrano come il sito sia stato ampiamente utilizzato per hostare link a pharmacy od altri siti di dubbi affidabilita' anche ad inizio anno

Il log degli accessi dimostra, dopo un periodo di non utilizzo di qualche mese, una ripresa del traffico a fine 2011, dovuta quasi certamente anche al redirect a pharmacy tramite link in mail.

Visto che cercando in Google si trovano solo info al riguardo delle pagine incluse di pharmacy ed anche di noto allerta Google sulla possibile pericolosita' del sito “This site may harm your computer" vediamo l'uso di un interessante servizio on-line di “........ ritorno al passato ….....” riguardo alla storia internet di vecchi siti tra i quali molti ormai non piu' presenti in rete.

Si tratta della Wayback Machine che mette a disposizione un enorme archivio pagine web e siti (oltre 150 miliardi di pagine web archiviate dal 1996 a pochi mesi fa ) che erano online negli anni scorsi e molti dei quali ormai 'scomparsi'.

Troviamo cosi che il sito attualmente senza homepage, nel 2004 (marzo) veniva visitato per al prima volta da Wayback Machine

e presentava

e sempre a fine 2004

mente l'ultima homepage legittima pare risalire a fine 2009

Da quel momento le successive visite al sito da parte di 'Wayback Machine' mostrano la homepage inesistente.

Si tratta in pratica di una azienda che probabilmente a cessato l'attivita' o comunque di gestire il dominio lasciandolo pero on-line ed attivo, cosa che ne ha permesso l'utilizzo per hosting di codici di redirect , pagine di pharmacy ecc...

E' una pratica molto diffusa in rete che vede siti, forum.... ecc... che dal momento che sono 'abbandonati” dai creatori o da chi dovrebbe gestirli diventano facile host di malware di vario tipo...permettendo a phishers, spammer, ecc di avere un servizio di hosting free e senza problemi di 'bonifica' dei contenuti.

Edgar

Phishing ai danni di banche IT a diffusione prevalentemente regionale. Banca Farnese (28 dicembre)

2011-12-28T11:03:00.003+07:00

Dopo la pausa natalizia pare riprendere attivamente il phishing ai danni di banche IT a diffusione prevalentemente regionale.

Questo il clone Banca Farnese

da cui

banca che non risulta colpita in precedenti azioni di phishing rilevabili dal DB del blog

Si tratta sempre di redirect a clone tramite noto Assetmanager Innova Studio

su sito greco compromesso, o meglio, che mette online interfaccia di gestione contenuti liberamente accessibile da remoto.

Il clone e' invece ospitato su sito azero

con asset manager che ha permesso di uploadare tutto quello che serve per il phishing attuale

e

I codici php mostrano la solita mail di invio credenziali al phisher attribuibile sempre ad R-team

Edgar

Phishing PostePay (28 dicembre)

2011-12-28T09:40:00.004+07:00

Numerose mails di phishing ai danni di PostePay ricevute negli ultimi giorni

con layout sempre uguale (bonus natalizio)

ma con quelle ricevute in data meno recente che hanno il 'logo natalizio' non piu' visualizzabile

come da source

Le piu' recenti (data di ieri) hanno invece il source che e' stato modificato, per ovviare all'inconveniente, e linkano l'immagine gif direttamente dal sito PostePay

Il form presente come allegato in tutte le mail ricevute, presenta layout noto

e link a codice php hostato su

Si tratta di sito USA compromesso quasi sicuramente attraverso vulnerabilita' della chat Shoutbox presente

Attraverso detta vulnerabilita' e' stato possibile uploadare shell remota e codice di phishing PHP

Il Codice php effettua oltre che all'invio al phisher via mail delle credenziali sottratte anche la scrittura su file delle stesse, come si nota dal source

Ancora quindi di un caso di phishing PosteIt che vede, come gia' ampiamente descritto , il tentativo di sottrarre credenziali di carta di credito, tendenza che probabilmente, andra' sempre di piu' affermandosi in futuro negli attacchi di phishing ai danni di banche IT e non.

Edgar

Phishing UniCredit (28 dicembre)

2011-12-28T08:53:00.004+07:00

Ancora attivi in rete diversi phishing UniCredit come ad esempio questo su dominio BR

che mostra i soliti accurati layout

anche se, questa volta, con qualche errore

Interessante anche questo phishing HSBC / UniCredit

ospitato su dominio creato di recente

ed hostato su server USA.

Da notare che il nome di dominio creato fa esplicito riferimento alla nota banca inglese HSBC (e' il primo istituto di credito europeo per capitalizzazione con sede a Londra.(fonte Wikipedia))

Si e' addirittura scelto un dominio di primo livello come .CO (Colombia) per creare un indirizzo web ingannevole del tipo xxxHSBC.CO (il reale dominio della banca e' www.hsbc.co.uk )

Con queste premesse non e' stato difficile trovare su questo dominio di phishing alcune pagine fake ai danni di HSBC come:

e

che mostrano un layout accurato e con i link presenti che redirigono sempre alla stessa pagina fake.
Si tratta di phishing attualmente attivo anche se non indicato nella segnalazione di quello UniCredit.

Sullo stesso dominio esiste, come detto, anche un phishing UniCredit che mostra questa pagina di fake login

seguita da form di acquisizione credenziali relative a carta di credito

Da notare, anche in questo caso, la cura posta nei layouts fake anche se pare che non vengano effettuati controlli di forma sui dati immessi, come succedeva nei precedenti phishing UniCredit.

Si tratta ancora una volta di tentativi la cui tendenza, sempre in aumento, e' quella di cercare di sottrarre credenziali di carta di credito piuttosto o non solo di password di login di accesso a conti bancari online.
L'uso di dispositivi hardware di verifica delle password (OTP) per l' accesso a servizi di internet banking, rende infatti sempre meno praticabile per i phishers, attacchi diretti ai conti on-line.

Edgar

“Click here to see the attached photos” Spam da probabile account mail compromesso.(26 dicembre)

2011-12-26T10:45:00.008+07:00

Ricevuta una lunga sequenza di mails da parte di un indirizzo mail presente tra quelli della mia lista di contatti

Si tratta di alcune mails che con differente 'oggetto' e che sono inviate su diversi miei account ma tutte dalla medesima persona.

Il testo presente nell'oggetto sembra essere creato apposta per incuriosire chi riceve la mail

'VERY GOOD'
'SEE THIS'
'INCREDIBLE'

e per di piu', essendo il mittente persona nota, le premesse per cadere nel tranello della fake mail ci sono tutte.

Ecco invece alcuni dettagli del contenuto, molto semplice, delle diverse e-mails ricevute

ed anche

e

Si tratta di un semplice link “Click here to see the attached photos “ che se cliccato punta a differenti sub-domini (a seconda della mail) creati qualche giorno fa.

e

Notate come sia presente nel link il nostro indirizzo mail.

che parrebbe essere utilizzato anche per personalizzare la pagina cui si viene linkati

Il redirect presente punta a questa pagina dal background sfocato

utile a creare lo sfondo per questo form di fake login a Windows Live

In pratica si chiede, a fronte del nostro indirizzo mail mail visualizzato in automatico, di loggarsi con la propria password, attuando cosi l'acquisizione dei nostri dati di accesso.
Il fatto che come pagina iniziale venga proprio richiesta la password di login sarebbe un sistema per incrementare da parte degli spammers la lista di ulteriori accounts compromessi da usare in futuro per l'invio delle fake mail.

Il dominio che ospita il fake login e' stato creato il 24 dicembre.

Una volta effettuato il login vengono presentate diverse pagine di concorsi a premi, personalizzate nella lingua del destinatario della mail (vedi screenshot)

e
e

e

Potrebbe quindi trattarsi di uno spam orientato a proporre pagine di dubbia affidabilita', concorsi , ecc... attraverso mail inviate da account compromessi.

Tra l'altro la pagina di login fasullo si riferisce proprio ad account Microsoft Live che e' poi lo stesso usato realmente dalla persona a cui e' stata probabilmente carpita la password di login.

Chiaramente chi venisse a conoscenza di questo problema, relativamente all'invio di mail in automatico da parte del proprio account mail, dovra' tempestivamente cambiare password di accesso al proprio account mail (sperando che nel frattempo non ci abbiano gia' 'pensato gli spammers, cosa che vedrebbe l'account mail non piu' amministrabile) ed anche, per sicurezza, altre password di accesso a servizi online usati, che potrebbero comunque essere state esposte a seguito dell'account colpito.
Inoltre sara' opportuno, effettuare una completa scansione antivirus del PC, al fine di evidenziare eventuali softwares coinvolti nella compromissione dell'account, anche se, come ben sappiamo, non e' detto che il software AV possa rilevare completamente tutte le possibili varianti di malware a cui si e' esposti ogni giorno navigando in rete, proprio per il fatto che la connessione Internet permette attacchi che, in tempo reale, propongono varianti sempre nuove e mutevoli di malware.

Qui trovate un post di fine novembre pubblicato da blog che si e' occupato di un caso simile.

Edgar

E-Cards natalizie pericolose. Alcun ulteriori dettagli (24 dicembre)

2011-12-25T13:04:00.005+07:00

Una ricerca in rete porta a trovare alcuni siti compromessi IT che attualmente ospitano una pagina E-Card come quella vista nel precedente post.

Andando ad esaminare gli headers della connessione web relativi alle pagine di fake E-Card su siti con whois IT troviamo

ed in un altro caso

Prendendo per attendibile l'header indicante l'ultima modifica effettuata possiamo notare data recente che vedrebbe il probabile upload della pagina.
Si tratta in entrambi i casi del 22 dicembre cosa che confermerebbe un attacco attuale.

La cosa piu' interessante e' che una ricerca Google porta a trovare un sito USA con struttura di folder simile alle precedenti viste nei casi IT e che mostra identica pagina.(stessa immagine, testo....)

La particolarita' sta nella data proposta dagli headers che parrebbe far risalire detta pagina al 23 aprile 2011, datando un simile layout come presente da molto in rete.
In effetti una analisi Wepawet

conferma la data del 23 aprile come quella di una analisi della pagina stessa ed e quindi altamente probabile che gia' in tale data avevamo on-line un layout che e' stato 'riciclato' per le odierne fake E-Cards.

Ma c'e' di piu'; analizzando in data odierna la pagina attualmente online (probabilmente a partire da Aprile 2011) otteniamo

Appare evidente che i codici presenti rivelino un BlackHole exploit ed come un certo numero di indirizzi web attuali, indicati nel report, linki sempre a script offuscato:

ed anche

Edgar

E-Cards pericolose. Una cartolina elettronica natalizia particolare (24 dicembre)

2011-12-24T19:47:00.009+07:00

Ecco una mail ricevuta questa mattina, che dal testo (nome di persona sconosciuta che invia l'E-Card) sembra essere il solito tentativo di compromettere il PC di chi al riceve.

Un click su uno dei links presenti, rivela pero' che il sito IT a cui puntava

e' stato messo offline dall' hoster, molto probabilmente proprio a causa di problemi di sicurezza.

Una veloce ricerca in rete permette comunque di trovare un altro sito IT compromesso,

questa volta ON-line, e che propone una pagina come questa

Notate che il link corrisponde comunque nella sua struttura ---- /E-Cards/?id---- a quello rilevabile nel source della mail ricevuta

cosa che dimostra che ci troviamo, molto probabilmente, sempre di fronte ad un sito coinvolto, suo malgrado, nella distribuzione del malware linkato dalle fake E-Card.

Il sorgente della pagina contiene questo codice offuscato

che parrebbe puntare a sito ucraino

con whois

Seguendo il link del codice de-offuscato ci troviamo di fronte a questo nuovo codice nuovamente offuscato

che deoffuscato mostra

Il codice e' simile a quello gia' analizzato qualche giorno fa sul blog, in un caso di spam malware, e ricorda il noto BlackHole Exploit.

In effetti se salviamo il codice della pagina di fake E-Card e passiamo il file a Virus Total troviamo

con 8 softwares Av che individuano una minaccia ed alcuni nello specifico un software malevolo Blacole

Se passiamo invece a VT il codice finale, offuscato linkato sul sito ucraino abbiamo l'antivirus Microsoft che individua il file come Blacole Exploit.

Come si vede, si tratta di un tentativo di diffondere malware da parte di personaggi che approfittano del periodo natalizio per rendere piu' credibili le mails con links a fakes E-Card hostate, anche, su alcuni siti IT compromessi.

Edgar

2011-12-24T14:42:00.002+07:00

Ancora phishing CartaSi (24 dicembre)

2011-12-24T11:51:00.003+07:00

Poche righe per descrivere ancora una mail di phishing CartaSi che vede l'utilizzo sempre del layout gia' visto parecchio in passato

con header che presenta IP IT gia' trovato altre volte

e medesimi domini compromessi usati in passato dal phisher per il redirect

La differenza e' che il sito compromesso IT

che era utilizzato qui come host del redirect ospita ora un clone CartaSi

(notare date recenti dei files)

Analizzando il codice php di invio credenziali eventualmente sottratte dal phishing si nota come si tratta sempre del medesimo indirizzo mail gia' visto nel precedente caso CartaSi che vedeva coinvolto il sito IT.

Edgar

Dal Db segnalazioni del blog. Un nuovo caso di phishing UniCredit estremamente curato nel layout ed ingannevole. (24 dicembre)

2011-12-24T10:36:00.006+07:00

Gli ultimi attacchi di phishing del mese di novembre, ai danni di UniCredit hanno presentato un livello di dettaglio raramente visto in rete.
Si trattava di phishing che sfruttando info tratte da un reale concorso promosso dalla banca, tentava di ingannare chi avesse ricevuto la fake mail, informando di una vincita, naturalmente fasulla (maggiori dettagli al riguardo anche su questo precedente post)

L'odierna segnalazione di un lettore del blog, che ringrazio,

ci presenta un nuovo phishing UniCredit che raggiunge un livello di dettaglio fuori dal comune per phishing ai danni di banche IT.

Per di piu' anche gli indirizzi web sia del redirect che del clone sfruttano ampiamente la tecnica di uso di sottodomini creati a partire da legittimi domini come gia' visto anche nel caso di diversi phishing PosteIT.

Da evidenziare inoltre, che, anche in questo phishing UniCredit, ritornano domini turchi compromessi come accadeva per il precedente phishing UniCredit di novembre.

Dato che non e' disponibile la reale mail, ma il codice presente nella segnalazione, ricostruiamo il layout della mail copiando la parte html del codice in un file testo ed aprendolo in browser.
Ecco come si presenta la mail (ricostruita)

che gia' dal layout evidenzia la cura posta sia nel testo che nella presenza di links al phishing anche attraverso un apposito pulsante di scelta.

Il dominio di redirect appare ad una sommaria analisi come

dove si nota che il reale IP a cui si viene rediretti e' su server polacco.
Ii pratica i phishers hanno creato un sottodominio fake accedendo probabilmente al controllo dei DNS sul sito turco, facendo puntare a sito con whois PL che ospita il redirect al clone UniCredit come:

Anche in questo caso un utilizzo di dominio legittimo con whois turco con attivo un sottodominio che punta al sito clone ospitato su ip sloveno.
Una riprova e' che sostituendo nella URL direttamente l'IP sloveno 'il risultato non cambia'

Altra nota particolare accedendo con IP thai, il sito clone parrebbe essere comunque 'forbidden'

Tornando al phishing, la prima pagina proposta presenta questa finestra sovrapposta alla fake home e che invita a digitare codici di accesso

a seguito dei quali, ed dopo una attesa ,simulata, di connessione al server,

si passa ad una serie finestre tutte curate nei minimi particolari

da cui

ed ancora

sempre con verifica della forma dei dati immessi (codice fiscale, n.carta di credito ecc....)

Cura viene anche posta nella rappresentazione dell'URL nel browser dove ad esempio appare una reale icona UniCredit e ,notate, il nome ingannevole della URL in uso.

Un phishing quindi molto curato e che per questo potrebbe risultare estremamente ingannevole a chi ricevesse la fake mail UniCredit.

Edgar

Phishing CartaSi. Ancora vulnerabilita' note a supporto di azioni di phishing (23 dicembre)

2011-12-23T22:03:00.006+07:00

Come ormai ben documentato in rete ed anche sul blog, l'azione dei phishers vede in moltissimi casi l'utilizzo a supporto dell'hosting dei cloni di phishing, sia siti che propongono on-line vie di accesso senza restrizioni ai contenuti degli stessi (Innova Studio File Manager e' uno dei piu' utilizzati) sia vulnerabilita' diffuse.
Tra quelle piu' utilizzate ultimamente in attacchi a CartaSi c'e' quella WordPress definita come 'WordPress Timthumb Vulnerability' (qui alcuni dettagli) e che e' usata anche nel caso odierno.
Si tratta di vulnerabilita' diffusa e che e' ben documentata in rete da tempo come vediamo in questo articolo apparso online nel novembre 2011 “Hackers 'Timthumb' Their Noses At Vulnerability To Compromise 1.2 Million Sites...........”

Tornando al caso odierno, questa la mail ricevuta

con primo IP negli headers italiano:

Il form di phishing CartaSi allegato

utilizza come codice di acquisizione dei dati introdotti, un php ospitato su sito sviluppato in WordPress e compromesso.

Questo un dettaglio del folder collegato appunto al plugin Timthumb sul sito colpito, che vede oltre che al codice php anche numerosi codici di shells legati alla vulnerabilita', alcune shells ed anche un file di testo su cui vengono salvate le credenziali sottratte.

Il php linkato dal form,infatti

oltre che ad inviare,come succede quasi sempre, le credenziali sottratte al phisher tramite e-mail (indirizzo gia' visto in altri recenti casi di phishing CartaSi) scrive sul file evidenziato nello screenshot, i dati personali acquisiti a chi fosse caduto nel tranello della fake comunicazione CartaSi.

Edgar

Sito italiano compromesso per distribuire malware mirato ad utenti internet di lingua tedesca. Il 'solito' file dal nome ingannevole.(21 dicembre)

2011-12-21T09:58:00.010+07:00

AVVISO IMPORTANTE! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di pagine e siti che distribuiscono eseguibili MALWARE a volte anche poco riconosciuti dai software AV.

Si tratta di una mail in lingua tedesca ricevuta oggi

che tradotta mostra

e che vede ancora una volta l'utilizzo dell'ormai ben nota pratica del file allegato in formato zip

che propone un nome di file eseguibile particolare

L'utilizzo di una lunga serie di caratteri 'underscore' consente, se la finestra del programma unzip e' di dimensioni ridotte, di vedere solo la parte iniziale del nome del file

che risultera' cosi essere un PDF e non un eseguibile come e' in realta'.

Il sito compromesso che ospita il malware come zip file

e' questa volta IT

Una analisi VT mostra come, al momento, il riconoscimento del malware sia ancora estremamente basso

Anubis rivela invece come ci sia una serie di possibili download in cascata

di eseguibili malware che partendo dal primo exe presente nel link portano al download sul pc colpito di successivi files eseguibili spesso quasi per niente riconosciuti

Ecco alcuni dettagli:

Il file eseguibile iniziale presenta codice che scarica quando in 'run' alcuni ulteriori eseguibili

Tra l'altro il sito di host dei nuovi files e' ancora con whois IT

A loro volta gli eseguibili scaricati presentano un codice che mostra attivare una connessione a

scaricando altro malware.

Si tratta di una pratica molto nota in caso di attacchi malware che evidenza come in tempo reale possano venire variati i codici malevoli che vengono uploadati sui pc colpiti per differenti scopi che vanno dall'acquisizione di dati personali, alla creazione di reti botnet, alla proposta di falsi softwares AV..... ecc..........

Edgar

Phishing ai danni di banche IT a diffusione prevalentemente regionale (19 dicembre)

2011-12-19T22:58:00.005+07:00

Continuano le azioni di phishing ai danni di banche IT a diffusione regionale.

Questo un clone banca Monteparma

attualmente attivo su sito thai

che presenta il solito Asset Manager Innova Studio raggiungibile on-line senza restrizioni ed utilizzato per uploadare i contenuti di phishing

Il redirect al sito thai avviene tramite sito vietnamita gia' usato ed analizzato in questi giorni

e che vede questa volta due codici di redirect che linkano al medesimo clone e sempre gestiti con Asset Mananger

Come si vede si tratta di siti che sono utilizzati anche piu' volte e per differenti attacchi considerato che, molto di rado, si provvede ad una bonifica dei contenuti ed a un blocco della possibilita' di connettersi da remoto all'Asset Manager Innova Studio

Edgar

Phishing CartaSi con evoluto layout del clone (19 dicembre)

2011-12-19T10:19:00.008+07:00

A parte i classici phishing PosteIT si puo' affermare che, attualmente, il top degli attacchi coinvolga pesantemente CartaSi considerato anche che passano poche ore di intervallo tra la ricezione di nuove mails fake ai danni della nota azienda, ed anche le segnalazioni in rete sono parecchie.

Si tratta di azioni di phishing che variano tra la presenza di allegati form in mail sino a link a pagine clone che sfruttano le piu' diverse vulnerabilita' per venir proposte online.

Un'altra distinzione la possiamo fare relativamente al layout dei cloni, specialmente la copia fake della homepage CartaSi, che propone a volte pagine 'datate' come questa di recente attacco

(si notano date e riferimenti anche al 2010 !!), sino a layout attuali con pagine che riproducono fedelmente il sito CartaSi

Quello che vedremo ora e' un nuovo clone attualmente online che raggiunge uno dei massimi gradi di corrispondenza tra sito fake e sito reale CartaSi attraverso l'utilizzo di frame di login incluso in un reale layout CartaSi.

Ecco un confronto tra il clone on-line

e il reale sito

ed ancora questo ulteriore screenshot del clone

ed il corrispondente reale

Come si vede una corrispondenza dei contenuti quasi perfetta.

Il sistema utilizzato per riprodurre con il massimo dettaglio la homepage CartaSi e' molto semplice e viene attuato attraverso questo piccolo codice

La parte evidenziata in verde richiama il reale sito CartasSi mentre in giallo vediamo un codice di fake form di login (dettaglio nello screenshot)

form che, semplificando la spiegazione, e' per cosi' dire sovrapposto a quello reale CartaSi.

Notate anche come il piccolo form di login di phishing necessiti del pulsante ENTRA che viene 'recuperato' da un noto sito di host di immagini (Tinypic)

In questo modo chi aprisse il link al clone CartaSi si trovera' di fronte ad un pagina quasi indistinguibile dall'originale se non fosse che per l'indirizzo url che naturalmente non e' quello di CartaSi ma di un sito compromesso tedesco.

In dettaglio si tratta di sito di eCommerce con whois

e pesantemente compromesso presentando numerosi codici relativi a shells remote ed a mailer

e dove possiamo trovare tracce di precedenti utilizzi al riguardo di cloni CartaSi come questi kits tuttora presenti

Questa la struttura del clone

con i relativi codici php di invio al phisher delle credenziali eventualmente sottratte

e

a chi fosse caduto nel tranello del falso sito CartaSi.

Edgar

Phishing PostePay (18 dicembre)

2011-12-18T21:42:00.005+07:00

Ricevuta mail di phishing ai danni di PosteIT

che vede la struttura del folder di phishing presentare altre al solito codice php anche due html di cui uno solo parrebbe comunque essere utilizzato

Il file con data meno recente mostra essere debolmente offuscato ed il codice presente non pare aver configurato un corretto indirizzo per il 'form action'

In effetti esaminado il KIT di phishing presente

troviamo identica struttura tranne che per il nome diverso del file html attivo

ed anche in questo caso abbiamo i due html di cui uno offuscato e non correttamente configurato

Il link in mail punta comunque al file 'funzionante' (html con data recente) che sfrutta il php presente come si nota da questo screenshot

Interessante vedere una parte del source (una riga di commento in romeno piu' 4 di codice) contrassegnata da // (commenti) e quindi non eseguita e che corrisponde ad una eventuale scrittura su disco delle credenziali sottratte dal phishing.
Si tratta un differente metodo di acquisizione dei dati di phishing molto comune in questi casi in alternativa od in unione all'invio al phisher via mail delle credenziali digitate nel fake form.

Un whois vede il clone ospitato su server

che gia' in data 16 dicembre era coinvolto in altro phishing PostePay attraverso questa mail

(testo con riferimenti a dispositivo OTP (one time password) ma comunque con date al febbraio 2011) e l'utilizzo della stessa struttura di clone (compreso il file html non attivo)

anche se in differente percorso

Edgar

Phishing CartaSi (18 dicembre)

2011-12-18T16:11:00.015+07:00

Continua sempre molto sostenuta la campagna di phishing ai danni di CartaSi, attraverso numerose mails ricevute anche in data attuale.

Interessante questa mai di phishing dal layout noto

con headers

e che vede come redirect un hosting su sito USA gia' ampiamente utilizzato in passato sia per phishing CartaSi ma anche ai danni di altre aziende IT (es Lottomatica)

Esaminando il folder che contiene i files necessari al redirect

notiamo oltre al redirect attuale (in uso)

anche un codice di redirect a precedente phishing CartaSi

e che e' attualmente ON-line e perfettamente funzionante

Interessante anche un file PHP con codice (che esamineremo in seguito nel post) che scrive credenziali su file testo denominato error_log

Una analisi del contenuto denota credenziali acquisite nel mese di novembre 2011

Seguendo il redirect attuale veniamo trasferiti sul clone CartaSi (layout identico al precedente old

ma con whois

Da notare come anche questo sito sia sviluppato in WordPress, che si dimostra la piattaforma da attaccare preferita per questi phishers CartaSi.
E' molto probabile che anche in questo specifico caso si sia utilizzata una nota vulnerabilita' di plugin WordPress considerato che il folder

presenta un folder cache con un completo 'repository' di shells remote

tra cui

ed

ed

Inoltre sono presenti alcuni codici php

che sono simili a quelli documentati in rete ed utilizzati normalmente per sfruttare vulnerabilita' plugin WordPress del tipo Timthumb Vulnerability

Ritornando al clone da notare come sia ospitato in un folder in compagnia di un php e di un file credenziali visti gia' in precedenza. (manga.php) (.error_log)

In dettaglio il php presenta

e scrive un file come

dove troviamo attualmente un unico record con whois tedesco (test del phisher ?)

Se esaminiamo il clone in uso linkato in mail abbiamo invece questo php

che in dettaglio vede

cosa che fa pensare che il php con scrittura anche su file delle credenziali al momento non venga utilizzato, almeno da questo phishing.

Edgar

Anche Tiscali WEB MAIL nel mirino dei phishers (17 dicembre)

2011-12-17T16:22:00.004+07:00

Dando una occhiata ad un phishing CartaSi attuale, segnalato da Denis Frati, e sempre sul medesimo sito compromesso analizzato in un precedente post, con sorpresa appare un folder denominato Tiscali

Si tratta di folder creato in data odierna che se analizzato mostra

con online questo fake form di login Tiscali Mail

con codice php come

Accettando il login parrebbe generarsi questo messaggio di errore dovuto alla mancanza del codice linkato.

In ogni caso si tratta di un clone che potrebbe portare i phishers ad acquisire le credenziali di accesso al servizio di Tiscali Mail per per azioni fraudolente, invio di spam ma anche furto di dati personali eventualmente presenti nelle nostre comunicazioni e-mail.

Edgar

Ritorna il phishing ai danni di Banca Monteparma (16 dicembre)

2011-12-17T00:20:00.005+07:00

Presente in rete una segnalazione di mail di phishing ai danni di Banca Monteparma

Si tratta ancora una volta di phishing gestito tramite redirect che sfrutta sito compromesso vietnamita

con diversi Asset Manager Innova Studio disponibili on-line tra cui

e questo quello usato

che ha permesso di uploadare il codice di redirect (notare la data attuale)

Il clone

e' attualmente ospitato su server Altervista come si nota dal whois

Interessante utilizzare la possibilita' offerta dal servizio di registrazione di Altervista che permette di 'datare' la probabile registrazione del dominio utilizzato da parte del phisher

Si scopre cosi' che detto dominio e' attivo gia' da qualche giorno e la conferma la abbiamo su un post pubblicato da Denis Frati dove viene evidenziato un phishing Banca Reale Mutua (portato avanti probabilmente sempre dai medesimi personaggi) la cui data di 'attivazione' coincide con quella presente su Altervista ed il cui dominio utilizzato e' lo stesso usato oggi per il phishing Monteparma.

Edgar

Distribuzione malware attraverso mail di spam.(15 dicembre)

2011-12-15T20:52:00.007+07:00

Si tratta di una mail segnalatami da Denis Frati, che punta ad exploit tramite link a codice su sito IT compromesso e serie di redirect.

Il testo in mail si riferisce, peraltro in maniera molto confusa ( e che fa pensare ad origine straniera della mail), ad un fatto di cronaca recente

“............Il sindaco di Roma ancora una volta ha inviato una lettera con proiettili ….......... '

ed e ' seguito da questo link

hxxp: //www. nomedelsito.it/posta/LunaIT.php.

Come si nota si tratta di un codice php incluso nel sito IT compromesso che tra l'altro presenta anche un iframe nascosto (che non pare piu' attivo) sula homepage, segno di precedente attacco.

Il caso odierno comunque , dal punto di vista 'operativo' assomiglia di piu' a quanto vediamo nei consueti casi di phishing con link a redirect su sito compromesso per arrivare a clone (in questo caso codice di exploit) su sito creato probabilmente solo per ospitare il malware.

Il php LunaIT.php. Redirige infatti su sito compromesso di OSCommerce con whois USA

che punta a sua volta a sito con whois ukraino

creato di recente

La particolarita' e' che occorre il corretto referrer (in questo caso il domino che effettua il redirect) per visualizzare il codice offuscato malevolo:

Si tratta di codice offuscato abbastanza complesso

e che viene modificato ad ogni ulteriore download come s nota da questo screenshot.

Il codice, de-offuscato. mostra analogie con altri gia' presenti in rete ed attribuibili a noto exploit.

In particolare si vede come si sia posta molta cura sia nell'individuare il sistema operativo della macchina da colpire

nonche' il browser usato sul pc attaccato.

A riprova che si tratta di una azione di distribuzione malware attiva, una ulteriore analisi del redirect mostra attualmente un diverso dominio rispetto a quello linkato ieri,

sempre su medesimo hoster ukraino , ma creato in data piu' recente.

Un po come succede per il phishing ai danni di banche, le continue modifiche degli indirizzi al malware e del codice malevolo sono eseguite per evitare eventuali blacklist dei domini malevoli e aumentare la difficolta' di riconoscimento dei codici pericolosi da parte dei softwares AV.

Edgar

'Berlusconi non ha potuto nascondere queste foto' Un'altro spam pericoloso (15 dicembre)

2011-12-15T10:32:00.006+07:00

AVVISO IMPORTANTE! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di pagine e siti che distribuiscono eseguibili MALWARE a volte anche poco riconosciuti dai software AV.

Bell'esempio di spam ingannevole attraverso questa attuale mail

relativa a recenti fatti di cronaca con testo ed allegato che tentano di indurre a cliccare sul file mascherato da immagine jpg.

L'archivio zip contiene un file con nome, fake estensione jpg e lunga serie di caratteri underscore che, se la finestra del programma e' dimensionata in maniera ridotta,

nascondono la reale natura di eseguibile exe del file.

Questa invece la finestra del programma con evidenziato l'intero nome del file

Una analisi del file attraverso virus total mostra la natura malevola del file e come successo altre volte qualche differenza tra risposta AV se si analizza il file 'zippato'

od il file estratto

Per quanto si riferisce all'hosting dello zip linkato in mail si tratta di sito compromesso con whois spagnolo

mentre analizzando il file eseguibile

si nota come lo stesso si connetta in rete una volta in 'run' per scaricare un altro codice malevolo

comunque ben rilevato

ed ancora da sito compromesso con whois spagnolo

Interessante anche una analisi degli headers in mail che individuano un unico IP italiano appartenente a Fastweb come probabile source dl messaggio.

Edgar

On-line l'ennesimo Phishing CartaSi (14 dicembre)

2011-12-14T18:01:00.006+07:00

Ricevuta fake mail ai danni di CartaSi, che si dimostra, attualmente, una delle aziende piu' prese di mira dai phishers.
Il layout e' praticamente identico a precedenti mails,

e vede come headers anche un IP “da queste parti “

Il link punta questa volta a sito italiano

pesantemente compromesso al punto che si possono rilevare anche da una sommaria analisi, parecchie shells php, file zippato contente una serie di pagine di pharmacy

e relativo contenuto estratto sul sito,

Un folder

con decine di pagine simili a blog utilizzate probabilmente per linkare ad altri siti di di dubbia affidabilita'

ed inoltre sono anche presenti links a siti porno.

Chiaramente un sito compromesso e facilmente utilizzabile dai phishers come hosting del codice di redirect

che punta a sito compromesso USA sviluppato in WordPress e che mostra questa struttura di folders che contiene il clone CartaSi

Questo uno dei codici php

che redirigono al reale sito dopo aver inviato al phisher la mail con i dati eventualmente sottratti a chi fosse caduto nel tranello della falsa mail.

Edgar