venerdì 31 ottobre 2008

Phishing UBI BANCA

Ecco una nuova mail di phishing ai danni di UBI BANCA

Si tratta di tentativi di phishing che sfruttano server locati in Asia. (entrambi nella regione indiana)

Il link in mail punta a sito compromesso locato in


che a sua volta redirige su sito compromesso con whois


Vedremo se, come capita spesso, questo e' l'inizio di una nuova 'ondata' di mails tutte con il medesimo soggetto di phishing.

Questo il link presente in mail al sito di phishing:

a href="http://www.ais-dhaka.net/Editor/assets/SP_Image/cart.htm "

Edgar

Spam “All popular OEM software for PC and MAC “ ovvero Euro Software

Cosi' come esistono migliaia di siti fasulli di pharmacy (viagra e derivati, falsi medicinali ecc...) capita di ricevere sovente mails di spam che pubblicizzano noti softwares commerciali a prezzi irrisori.
Si tratta in realta di siti che propongono, come si legge in rete, “pirated "OEM" software” cioe' copie illegali di software di solito in versione OEM.

Ecco una tipica mail in lingua italiana ricevuta in questi giorni

Il sito a cui punta il links al momento e' hostato su server coreano

ma, come si vede da una ricerca in rete

si tratta in realta' di siti con indirizzi che variano in maniera molto rapida visto anche il contenuto degli stessi.

Questa la home page, in parte anche in lingua italiana, dal layout abbastanza curato che propone probabili copie di vari applicativi di marca a prezzi molto bassi

Una descrizione dettagliata (in inglese) riferita ai siti “Euro Software” la potete trovare qui

Edgar

giovedì 30 ottobre 2008

Hacking quotidiano 30 ottobre

Una ventina di siti, di cui molti in lingua italiana, ma hostati su server USA

presentano, al momento di scrivere il post, inserito al loro interno accendendo a www.nomesito.it/a.htm un codice html che visualizza questa semplice scritta

Questo un report dei siti colpiti eseguito con Webscanner

Edgar

mercoledì 29 ottobre 2008

Uso di Moodle per linkare pagine con malware o siti di pharmacy (aggiornamenti)

Prosegue l'utilizzo di siti Moodle (sistema di sviluppo di siti di e-learning,( Course Management System)) per creare pagine con links a siti poco affidabili o peggio che distribuiscono false applicazioni AV o malware.

Dopo quanto pubblicato in questo post, ulteriori ricerche odierne hanno portato ad individuare ulteriori “aggiornamenti” su siti Moodle appartenenti a scuole od universita' nonche' aziende private.

Ecco alcuni esempi della recente pagina Moodle relativa al profilo utente con un layout comune a molti siti attualmente online:



Come si vede viene simulato una sorta di motore di ricerca multiplo cliccabile direttamente sull'immagine
Il risultato e' costituito dall'apertura di una pagina fasulla di scansione online per questo fake antivirus denominato Pro Antispyware 2009 o come si vede dalla url 'scannerantispyware'

Una analisi fatta con VT dimostra il quasi nullo riconoscimento della falsa 'applicazione da parte degli AV presenti sul report.

Interessante notare che per l'ennesima volta viene utilizzata una URL che modificata porta a caricare nomi diversi dello stesso falso setup exe e che presenta anche differenti layout del falso scanner AV
Edgar

Caso pratico di "Shared documents" su hotspot.

In questi giorni mi e' capitato di utilizzare una rete WIFI che fornisce un accesso gratuito ad Internet in un nuovo edificio in Bangkok composto da piu' di un migliaio di monolocali affittati ad uso abitativo.

L'accesso viene garantito da un certo numero di Access Points,


e senza l'utilizzo di nessun sistema di protezione dei dati (WEP (comunque insicuro) , WPA, ...... ) mentre l'autenticazione per l'accesso ad Internet viene fatta al momento dell'apertura del browser

con richiesta di login attraverso il numero di appartamento ed una password creata e fornita al momento di affittare.

L'utilizzo della connessione WIFI ad Internet e' gratuito e senza limiti di tempo ma viene limitato nella velocita', specialmente per download od upload di files , a pochi KB (velocita' normalmente paragonabili a quelle di un modem su linea analogica) mentre navigando in internet il problema e' meno evidente.
L'indirizzo IP del pc quando connessi viene , come succede in questi casi, assegnato in maniera automatica, e nel caso specifico di questa rete varia da 10.0.0.1 a 10.0.3.254. (garantendo il numero di possibili collegamenti per il totale degli appartamenti)

Vista la tipologia di questa rete WIFI non protetta (disponibile anche per chiunque si trovi nelle vicinanze dello stabile) e, nota importante, senza loggarsi e' possibile utilizzare uno dei tanti scanner di rete free per visualizzare le connessioni attive sulla stessa.
Per fare questo si piuo' utilizzare uno dei tanti softwares freeware, come ad esempio Angry IP Scanner versione 2.21( con alcuni plugin installati).

Uno volta lanciata la scansione sul range di IP visto sopra ecco cosa appare al termine della stessa (parziale report di alcuni indirizzi IP compresi nal range utilizzato da questa rete WIFI)

In pratica tutti i pc al momento connessi in wifi risultano visibili nel report, che, nel caso dell'uso di Angry IP Scanner (con plugins), restituisce parecchie info al riguardo degli elaboratori connessi.
La cosa interessante che si nota nel report e' la presenza di alcuni computers estremamente insicuri.

Si vede infatti che alcuni pc condividono singoli folder ma anche interi dischi mettendo a disposizione il loro contenuto in molti casi anche con permessi di scrittura abilitati (possibilita' di upload di files e/o download di tutto quello che li contiene).

La cosa sarebbe grave ma ancora di piu' se ne verifica la pericolosita' se si ha la malaugurata idea di connettersi rendendo condivisibile anche una sola cartella del proprio disco dato che dopo qualche minuto puo' presentarsi una situazione simile a questa:

In pratica un utente che presenti malware sul su pc puo', se il virus ha la caratteristica di replicarsi attraverso connessioni di rete, diffondere il suddetto file su tutti i pc collegati al momento e che condividono folders o interi dischi, come si e' verificato in questo caso del shared folder di XP

A parte la presenza di default di shared folder la condivisione del disco viene spesso attutata in ambiente windows a livello di rete casalinga o piccoli uffici semplicemente per rendere disponibile parte o molto spesso l'intero disco non tenendo conto dei problemi di sicurezza collegati se connessi ad una rete WIFI di questo tipo.
Tanto per fare un esempio, l'ufficio che amministra lo stabile ha diversi pc connessi che usano per praticita' lo stesso sistema WIFI visto ora e chiunque disponga di WIFI sul proprio computer puo tranquillamente entrare nei pc visualizzando (ma anche in alcuni casi modificando) documenti, testi, fogli di calcolo ecc.....

Da questo esempio risulta ben evidente come l'utilizzo di Hotspot WIFI ormai molto diffusi, o comunque di connessioni WIFI in genere, debba sempre essere preceduto da una verifica delle impostazioni del nostro computer onde evitare problemi di sicurezza utilizzando questo genere di connessioni. (condivisione di folders, accesso WPA ecc....)

Alcuni consigli pratici (in italiano) su come configurare un pc che si voglia utilizzare per connettersi ad un hotspot li potete trovare qui

Edgar

martedì 28 ottobre 2008

Spam con allegato malware

Si tratta di una mail di spam che presentata come mittente UPS e notifica che una vostra spedizione e' rimasta inevasa a causa di un errore nell'indirizzo.

E' presente inoltre in allegato un file zip che, nel messaggio, viene spiegato contenere la documentazione relativa.

In realta' il file .zip contiene un file eseguibile malware che puo infettare il pc di chi , magari per curiosita' cliccasse sul file malware.

Edgar

lunedì 27 ottobre 2008

Hacking quotidiano 27 ottobre

Il numero di siti .IT su


che gia' in data 25 ottobre presentavano la home sostituita da questa pagina


e' ora aumentato arrivando a costituire quasi il totale di quelli rilevati sull'IP in questione

Questo un report dei siti colpiti eseguito con Webscanner

Edgar

domenica 26 ottobre 2008

Hacking quotidiano 26 ottobre

La quasi totalita' di siti ospitati su

presentano l'inclusione di un codice che visualizza, quando richiamato dal browser,

(la homepage dei siti colpiti risulta pertanto online e funzionante) .
e questo un report dei siti colpiti eseguito con Webscanner

mentre queste alcune videate di attacchi odierni sempre a siti .IT

ed anche

Edgar

sabato 25 ottobre 2008

Hacking quotidiano 24-25 ottobre

Alcuni siti .IT presentano la home sostituita da

e questo un report dei siti colpiti eseguito con Webscanner

Piu' interessanti questi due casi dove in entrambi e' stata utilizzata la tecnica di reindirizzare direttamente su pagine predisposte con il 'messaggio' da visualizzare.
Questo il primo sito con la sostituzione del link a cui punta il logo presente sulla pagina ma come si vede solo su uno dei due collegamenti

Questa la pagina visualizzata

normalmente presente su questo sevizio free di hosting come si vede da una ricerca tra le pagine presenti

Nel secondo caso da questa pagina

si passa per aggiunta del codice relativo


a questa dove compare il messaggio di hacking

Come sempre tutto questo, a parte i problemi arrecati ai siti colpiti denota una continua presenza di vulnerabilita' sfruttabili per azioni piu' pericolose quali phishing, spam distribuzione links a malware o direttamente files pericolosi.

Edgar

Free Antivir Av Scanner e importanti novita' Anubis

Si tratta di un falso antiispyware che contrariamente a quello che succede normalmente propone un file eseguibile che non simula un falso software AV ma e' un malware a tutti gli effetti.


Ecco la pagina principale


dove viene proposto il file eseguibile anntivirus.v1.exe che esaminato con VT




dimostra un basso riconoscimento da parte dei softwares AV ma comunque un contenuto pericoloso evidentemente non di falso setup antimalware ma di trojan a tutti gli effetti.


Un tentativo di esaminare il contenuto del file con Threat Expert sandbox da' esito negativo mentre Anubis si dimostra piu' efficiente nel visualizzare info al riguardo del file eseguibile.

Una premessa al riguardo di Anubis che da qualche giorno e' online con nuove opzioni mportanti

New Features:

* Additional report formats: In addition to the HTML report it is now possible to view the Anubis report in the PDF, plain text or the (original) XML format. The report is available for download in the MHT, PDF, XML or plain text format.
* Auxiliary File Submission: It is now possible to additionally submit DLLs or other auxiliary files, which are required by the executable.
* Pre analysis: For submitted files that are certainly no valid Windows executables we do no start Anubis but immediately present the output of the popular Unix 'file' command.
* Stability enhancements: Several bugs have been fixed in the main Anubis executable
* URL Analysis: Anubis analyzes an URL by opening it in the Internet Explorer and monitoring the brower's behavior.
* User accounts: You can create a user account on our homepage for having easy access to all your previous submissions.
* Webpages: All our web-pages and the Anubis analysis reports are now fully XHTML 1.0 conform. Moreover, you can now reach our homepage via HTTPS. In particular, you can submit samples via HTTPS (which allows one to submit samples if one is behind a virus-scanning HTTP proxy).
* ZIP submission: An executable can be submitted together with its auxilliary files packed in a ZIP archive.

che ne hanno notevolmente migliorato l'uso e le possibilita' di analisi di files malware


Innanzitutto la pagina principale di Anubis ora propone l'analisi si di files che anche di indirizzi di pagine web, ed inoltre al momento di uploadare il file sul sito si viene informati in dettaglio del processo dell'attivita' di analisi ;

inoltre il report generato ora puo' essere ottenuto in diversi formati tra cui file pdf , testo, html, ecc...

Questi i risultati forniti da Anubis nel caso visto ora

che dimostrano una buona attivita del file malware nel connettersi a siti da cui scaricare ulteriori files pericolosi di cui vediamo un esempio


ed anche
con whois

Sembra quindi che questa volta , come non succede di solito, il pretesto di proporre un Antispyware sia direttamente connesso al tentativo di infettare il computer di chi malauguratamente cadesse nel tranello del falso programma antivirus.

Edgar