domenica 31 agosto 2008

Phishing CartaSi

Ricevuta mail di phishing ai danni di CartaSI

La particolarita' di questa mail sta nel dominio utilizzato per l'occasione che cerca di 'copiare' il reale dominio di CartaSi: href="http://cartta-ssi.com/"

Questa la pagina del form di acquisizione dei dati personali contenuta nel sito di phishing.

La registrazione di questo dominio e' molto recente ed a nome di persona italiana con relativo indirizzo in quel di Alba (Cuneo) mentre un whois punta a server locato in UK

Anche se chiaramente non si puo' considerare attendibile questo recapito, e' comunque interessante vedere che nei dati della registrazione del dominio e' stata usata una reale localita', come si vede da questa mappa Google.

Edgar

sabato 30 agosto 2008

Phishing multiplo CREVAL

Ricevuta mail di phishing ai danni del gruppo bancario Credito Valtellinese

La particolarita' del sito di phishing e' che si tratta di un sito con accesso 'multiplo a piu' pagine di phishing che simulano i diversi istituti bancari tutti facenti parte del gruppo CREVAL

In realta' la cosa non e' troppo complicata dal punto di vista della creazione dei siti di phishing in quanto viene solo sostituito il logo ma la pagina rimane identica per tutti i siti di phishing.
A differenza delle reali pagine delle banche facenti parte di CREVAL

che tra l'altro presentano diverso banner nell'intestazione.

Ecco il folder che ospita i vari files necessari per le diverse pagine di login fasullo.

(con date in spagnolo es. - abr -)

Il sito di phishing e' ospitato su server colombiano

all'interno di un sito, probabilmente compromesso, di giornale che vediamo in questo screenshot

Dopo la richiesta di login e dei relativi codici il sito di phishing simula un problema di login e reindirizza sul reale sito Creval.

Edgar

venerdì 29 agosto 2008

Hacking quotidiano 29 agosto

Una certa quantita' di siti web .IT hostati su differenti IP presenta, al momento di scrivere il post, la homepage sostituita da:

Ecco il report eseguito con il tool Webscanner

Si tratta, in questo caso, di probabili vulnerabilita' Joomla dovute a componenti aggiuntivi (estensioni) che essendo numerose (piu' di 3500 e con codice sorgente disponibile in rete) favoriscono i tentativi di hacking, di cui abbiamo gia' visto esempi in passato.

Edgar

Injection attacks from www0(dot)douhunqn(dot)cn

Anche se sono passati ormai mesi dalle prime massicce ondate di attacchi di sql injection anche ai danni di siti italiani rimangono sempre attive alcune pagine su dominio .CN che continuano a linkare iframe con vari exploits.

Esaminando la situazione attuale per quanto si riferisce a pagine .IT colpite da sql injection ed ancora compromesse e' sempre possibile trovarne in rete una certa quantita'

Ad esempio

oppure
Al momento uno dei siti maggiormente attivi e' linkato dallo script w.js di cui vediamo il codice

che punta a questa pagina su douhunqn(dot)cn

che come vediamo propone diversi iframes con una serie di exploits per differenti softwares (office, yahoo, ecc...)
Questo un whois della pagina contenente gli exploits

Fortunatamente la maggior parte degli scripts inseriti nei siti colpiti risulta al momento, non attiva visto che la loro collocazione all'interno del codice delle pagine non ne permette l'esecuzione da parte del browser ma altera solo la visualizzazione del layout della pagina come visto nei due esempi precedenti.

Edgar

giovedì 28 agosto 2008

Interessante mail di phishing ai danni della Banca Popolare del Lazio

Ricevuta una 'interessante', mail di phishing ai danni della Banca Popolare del Lazio che si discosta dalle mails simili per la tecnica utilizzata nel creare il sito di phishing

Questa la mail, scritta in un italiano abbastanza corretto

che linka direttamente al sito di phishing attraverso questo indirizzo web:

http://bplazio.it/?http://194.154.164.100/~bplazio@bplazio-it.com/


La cosa che si nota subito e' la presenza nella URL del reale indirizzo della banca (indicato in giallo nello screenshot), seguita da un indirizzo IP che punta alla pagina di phishing (in rosso).
Come appare chiaro, si sfrutta la possibilita fornita dal sito della banca di poter visualizzare sul browser il contenuto di un indirizzo web aggiunto alla url di seguito a quello originale.

In altre parole, se si crea una URL simile,utilizzando, come esempio, il noto indirizzo del sito ANSA.it ed inserendolo nell'indirizzo web della banca abbiamo la seguente visualizzazione:

In questo caso appare una pagina che presenta nella parte superiore la pagina originale della banca mentre nella parte centrale il sito 'inserito'

Appare chiaro che questo genere di inclusione di frame, in visualizzazione da parte del browser, presenta tutti i rischi collegati ad una maggiore possibilita di mascherare la reale provenienza della pagina che richiede i dati personali di login.

Qui vediamo come ad esempio l'addon Firefox ci segnali un IP appartenente correttamente al sito della banca

quando in realta' ci troviamo su una pagina di phishing hostata in UK

Per il resto si tratta del solito phishing che richiede codici di accesso e che una volta inviati rimanda sul reale sito della banca.

Aggiornamento 29 agosto
Ne parla anche DenisFrati.it in un dettagliato post.


Edgar

Network Timeout - The server taking too long to respond

Questa mattina, 7.30 AM ora thai (2.30 AM in Italia) tentare di visualizzare il sito ansa.it o ad esempio la pagina di login della mail di Alice.it connettendosi dalla Thailandia portava a questo risultato

Un trace della connessione sembrerebbe dimostrare che problemi si presentino quando si arriva sulla rete italiana.
Ecco un esempio di trace di Ansa.it

ed uno di Alice.it


Edgar

mercoledì 27 agosto 2008

Commenti pericolosi

Prendo spunto da un post apparso sul forum di Hardware Upgrade che indicava la presenza di 'strani' commenti su un sito italiano.
Ecco una breve analisi:
Questo uno dei commenti presenti:

che come si vede riporta un testo in inglese costituito da un elenco disordinato di parole di genere porno che , come sempre in questi casi, servono a facilitare possibili links da parte dei motori di ricerca.
La parte pericoloso del commento e' invece proprio il nome di chi lo ha postato, in questo caso 'ESTELLE' che riporta un link a pagina gia' vista altre volte in siti che distribuiscono malware.

La pagina in questione oltre ad alcuni links a siti porno contiene questo script offuscato

che decodificato presenta un link ad altro sito

Eseguito il link ecco cosa appare

si tratta della pagina di Google , in questo caso in thailandese, considerando che l'interrogazione del sito e' stata fatta appunto dalla Thailandia.

Chiaramente non si mette in atto un sistema del genere (falsi commenti con link, redirect a pagina con scripts, ecc...) solo per portare, chi clicca sul nome presente nel commento, ad una pagina Google e quindi vediamo cosa succede forzando un IP 'italiano'

Ecco la pagina caricata

che ci conferma il reale intento di chi ha inviato commenti di spam.
Si tratta di malware (variante zlob) sotto forma di falso setup di codec video come sempre abbastanza pericoloso in quanto pochissimo riconosciuto dai principali softwares antivirus.

Un whois punta a

Inoltre, come succede quasi sempre, interrogando la homepage del sito che serve il falso codec abbiamo solo la pagina di test del server web.


C'e' da dire , che ancora una volta, si dimostrano di una certa pericolosita' i commenti di spam aggiunti a forum, blogs ecc... con links di questo tipo, in quanto, chi cliccasse sul link presente, senza avere gli scripts java disabilitati nel browser, si troverebbe direttamente sulla pagina di download del falso player con tutte le conseguenze del caso se accettasse di scaricare ed eseguire il file proposto.

Fortunatamente, almeno nel caso visto ora, sembra che il sito sia amministrato correttamente, e i falsi commenti, siano gia' stati rimossi.

Edgar

martedì 26 agosto 2008

Hacking quotidiano 26 agosto

Una certa quantita' di siti web hostati su:

presenta, al momento di scrivere il post, e per alcuni dei siti,la homepage sostituita da:

mentre per molti altri abbiamo un semplice file .TXT inserito all'interno del sito

Ecco il report eseguito con il tool Webscanner

Come sempre la compromissione dei siti rivela probabili vulnerabilita' che potrebbero essere utilizzate in futuro per azioni ben piu' pericolose (phishing, link e distribuzione di malware, ecc....)

Edgar

Aggiornamento falsi codec

Come sempre un semplice sistema per avere gli ultimi aggiornamenti sul malware circolante in rete e' quello di linkarsi ad uno dei molti forum , anche su dominio .IT, che , terminata la loro normale funzione in quanto non piu' utilizzati e/o non correttamente amministrati, diventano fonte continua di links a pagine malware.

Questa volta utilizziamo questo forum italiano associato ad un sito che si occupa di windsurf e che presenta migliaia di post, con aggiornamento continuo, tutti contenenti links a malware.
Ecco uno dei post odierni che presenta come vediamo collegamenti sia tramite immagine che link testuali

Come si vede abbiamo una unica immagine di grandi dimensioni che simula un falso sito di video online e di seguito decine di links sia ad altri forum che presentano lo stesso problema sia a siti con links pericolosi.

Cliccando sull'immagine veniamo portati su una delle consuete pagine di falso player , di cui vediamo il codice


e che, se gli scripts sono attivi sul browser, propone il download di un falso codec.
Questo un whois:

E' interessante notare come il codec non sia contenuto sullo stesso sito che propone il falso player m venga scaricato da un sito creato appositamente per distribuire falsi plugin e codec video


Come si vede si tratta di sito con un layout curato che propone il falso codec che si rivela ad una analisi VrusTotal come

poco riconosciuto dai softwares AV piu' usati.

Inoltre , come succede quasi sempre, il codice del falso codec varia ogni volta che si effettua un download dello stesso e questo per cercare di eludere meglio le verifiche da parte degli antivirus.

Sempre nel medesimo post abbiamo una serie di links utili nel dimostrare come anche una applicazione di Google e cioe' Google Notebook possa essere utilizzata per diffondere malware.
Ricordo che Google Notebook e' un servizio gratuito offerto da Google che fornisce la possibilita' di catturare e conservare in modo semplice piccole "clip" di pagine web.
Data che esiste la possibilita' di rendere condiviso in rete il proprio Google Notebook se ne e' subito approfittato per trasformarlo in una fonte di links anche con immagini, a siti malware.
Ecco una directory di Google Notebook di un utente creato appositamente

allo scopo di linkare pagine come questa

con relativo redirect su sito malware.

Oltre a questi links abbiamo anche la presenza di collegamenti ad altri forum con i medesimi contenuti di quello visto ora

tutti con lo scopo di rendere sempre piu' facile la comparsa di questi links nei risultati di una pagina di ricerca in rete.

Edgar

lunedì 25 agosto 2008

Hacking quotidiano 25 agosto

Una certa quantita' di siti web hostati su:

presenta al momento di scrivere il post, la homepage sostituita da:

Ecco il report eseguito con il tool Webscanner

Come al solito c'e' da notare la consueta, rilevante quantita', di siti e/o server web vulnerabili che ogni giorno vengono presi di mira per attacchi piu' o meno dannosi.

Nel caso visto ora sembra che a parte il blocco temporaneo del sito non siano presenti links a malware o pagine pericolose, ma in ogni caso la compromissione rivela probabili vulnerabilita' che potrebbero essere utilizzate in futuro per azioni ben piu' pericolose (phishing, link e distribuzione di malware, ecc....)

Edgar

Phishing QuiUbi 25 agosto 2008

Nuova mail di phishing ai danni di QuiUbi

Questa la pagina di phishing

e questo un whois che punta a sito francese che ,suo malgrado, ospita il sito di phishing QuiUbi

Ecco il link completo al sito di phishing QuiUbi:

http://ns.afm-drac.org/hb/login.do.php

Edgar