Aggiornamenti scam e phishing (5 novembre 2009)

Sempre molte le mails di scam con foto allegata ricevute ultimamente , e di cui vediamo alcuni screenshot.

Si tratta di messaggi che invitano a contattare chi scrive la mail ed inviate da persone che, secondo quanto scritto nel messaggio, per la maggior parte vivrebbero in Russia

In realta ' s tratta sempre di scam di genere 'sentimentale' gia' visto in questo precedente post.

La riprova che siamo di fronte a mails create appositamente per cercare di ingannare chi le riceve la vediamo in questo screenshot dove due messaggi ricevuti in data odierna a fronte della medesima immagine allegata presentano diversi mittenti sia nel campo FROM che nell'indirizzo mail a cui rispondere.

---------------------------------------------------------------------------------------------

Per quanto si riferisce ad attuali problemi di phishing questa la lista di mails ai danni di Intesa San Paolo

i cui links presenti nei messaggi puntano sempre al medesimo sito compromesso in lingua brasiliana (anche se con whois USA)


che poi redirige sul falso sito Banca Intesa (consueto layout gia' visto in precedenti siti di phishing Intesa San Paolo)

Interessante notare che, il sito compromesso che ospita il redirect, presenta anche questi contenuti

confermando la presenza di alcuni problemi.

Un particolare che potrebbe invece aumentare le probabilita' che chi riceve le mails venga tratto in inganno e' costituito dalla pagina di phishing a cui si viene rediretti dopo aver confermato i dati del login fasullo

Come vediamo, nella pagina successiva al login, il sito di phishing avvisa che e' stato attivato un BONUS, e redirige poi,dopo qualche secondo, su una pagina del REALE sito banca Intesa, che presenta l'annuncio, ben evidenziato, dell'attivazione di un “Programma BONUS”

Anche se ovviamente il BONUS gestito da Banca Intesa e' cosa' diversa dall'ormai noto bonus in denaro offerto da mails di phishing, e' possibile che questa reale pagina a cui si viene rediretti e che illustra il programma BONUS renda piu' plausibili i falsi contenuti del sito di phishing visto prima.

Edgar

Facebook Phishing “Cocktail attack”'

Sempre attiva la campagna di phishing ai danni di Facebook che vede adesso la presenza di un utilizzo combinato di malware e falso AV.

Come riporta infatti il blog MacAfee le ultime mails di spam ai danni di utenti Facebook vengono utilizzate per un attacco combinato sia eseguendo malware ma anche un falso Av sulla macchina colpita.

In pratica abbiamo :

La notifica di un messaggio di spam con l'indicazione che, per motivi di sicurezza, la propria password di accesso a Facebook e' stata cambiata, ed e' disponibile nel documento allegato.
Il download di malware keylogger per raccogliere i numeri di carta di credito, password di altri dati sensibili dalle macchine delle vittime '.

Il download di un falso prodotto AV che disabilita molte applicazioni, come ad esempio Notepad, Wordpad, ecc... fino a quando non viene registrato a pagamento.

Ecco alcuni ulteriori dettagli, sempre proposti dal post sul blog MacAfee

Innanzitutto la mail di spam cerca di convincere gli utenti della sua provenienza 'genuina' da Facebook

forzando l'indirizzo nel campo FROM come 'Facebook Privacy Policy'.

Il file zip allegato contiene un file con icona relativa ad foglio di calcolo e al momento dell'apertura dopo aver installato il malware si autodistrugge.

A questo punto il malware installato esegue una connessione al server dell'attaccante attraverso la porta HTTP e tenta di scaricare ulteriori 'carichi utili' sulla macchina ora infetta.
Il malware scarica un keylogger e lo esegue di nascosto raccogliendo informazioni come la password di login, numeri di carta di credito, ecc che invia ad un server remoto tramite una backdoor creata allo scopo.

Se non bastasse questo, mentre prosegue il furto dei dati, il malware tenta anche di scaricare un falso prodotto di sicurezza.
Il falso AV viene installato in maniera nascosta e termina quasi tutte le applicazioni aperte: Notepad, Calcolatrice, Editor del Registro, Task Manager, e altri. (Non termina invece Internet Explorer, perche' ne ha bisogno di IE per comunicare con il server malware)

Dopo aver chiuso queste applicazioni il malware propone un falso allarme,

sostenendo che l'applicazione che tentiamo di aprire e' infetta e dovremo per riattivarla, registrare il falso Av, naturalmente a pagamento.

McAfee blog conclude evidenziando come dopo lo spam ed il phishing ai danni di Social Networks che si limitava in passato, ad esempio alla vendita di pharmacy ora chi gestisce queste attivita' illecite vuole 'venderci' falsi AV ma nel contempo tenta anche di appropriarsi di nostri dati personali riservati come password di accesso, numeri di carta di credito ...ecc...

Edgar

Halloween, malware e falsi AV (1 novembre 2009)

AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta pagine con di links anche a files eseguibili spesso poco riconosciuti dagli AV.

Sembra che per questo Halloween la scelta preferita da chi distribuisce malware e falsi Av sia stata quella di utilizzare tecniche di SEO poisoning (Search Engine Optimization), per pilotare le ricerche in rete su pagine contenti falsi Av o malware.

Come anche descritto da SophosLab blog, quest'anno non sono state molte le 'campagne' di invio mails di spam aventi come argomento la festa di Halloween ma chi gestisce la distribuzione di falsi Av ha preferito l'uso di links proposti dai risultati di una ricerca in rete.

Ecco ad esempio quello che appare da una attuale ricerca Google

con links a pagine che propongono a falsi scanner Av oppure falsi siti clone di Youtube.(anche in questi casi viene eseguito un controllo di provenienza dell'IP del visitatore per cui es.con IP Thai non vengono visualizzati i falsi scanners Av ma altre pagine)


Una analisi VT dei files eseguibili proposti evidenzia riconoscimento da molto basso

a nullo per questo eseguibile:

Edgar