venerdì 27 febbraio 2009

Links su siti di Amministrazione Pubblica Italiana

Sono sempre molte le pagine di siti della P.A. italiana che propongono direttamente sotto varie forme (post a forum, guestbook, ecc....) oppure ospitano in maniera nascosta centinaia di links a pagine web di dubbia affidabilita'
Vediamo alcuni casi online al momento di scrivere il post:

Ecco 2 screenshots di users account di forum che propongono anche i relativi links poco affidabili:

ed anche

Qui vediamo invece i 'soliti' links nascosti presenti attualmente sul sito di Comune italiano

, visibili, anche in questo caso, se e' attivo un user agent che simula ad esempio Googlebot
Piu' interessante invece questo forum

che ripropone ancora una volta links a Justin TV, sito di streaming video, di cui ho gia' scritto in passato e che tramite falso video

porta chi visita il sito su pagina di altrettanto falso scanner antivirus

che tenta di far scaricare un file eseguibile di falso setup


che e' praticamente sconosciuto ai principali Av reali presenti su VT

Ecco ancora una pagina che permette di commentare le notizie proposte

e che e' stata utilizzata per visualizzare centinaia di links a pagine di dubbia affidabilita'

Per finire ecco questa pagina di Comune relativa ad una galleria fotografica che permette l'inserimento di commenti alle foto presentate.

Questo il top della pagina dove iniziano anche i falsi commenti con links di vario genere

e che aggiunti in enorme quantita' rendono questa pagina da 'guinness dei primati '

Se visioniamo il codice sorgente

, infatti, tra links nascosti e non, si raggiunge la ragguardevole cifra di piu' di 73.000 linee , un numero tale che raramente ho visto per singola pagina web.

Edgar

giovedì 26 febbraio 2009

Un 'Casino' di spam

Ultimamente la frequenza dell'invio di emails di spam in italiano con contenuti che propongono il gioco d'azzardo online ha raggiunto numeri notevoli.

Basti pensare che su una sola casella di posta elettronica creata appositamente allo scopo di verificare spam e phishing riceve quotidianamente decine di mails, abbastanza simili tra loro, e con contenuti che invitano a giocare online dietro promessa di vincite garantite.

Ecco una tipica mail

ed ecco un parziale elenco

Questa una breve analisi della provenienza dei siti linkati dalle mails


che come si vede nella odierna distribuzione di spam 'casino' sono tutti riconducibili a servers cinesi


I file scaricati da ogni singolo sito che permettono di giocare online sono invece, differenti per ogni singolo sito,

ma hanno tutti provenienza comune da una unica fonte e precisamente da


Una volta lanciati provvedono a scaricare sul pc ed eseguire il programma che connette al sito di gioco online.

Questa una analisi Norton Safe Web della url di provenienza degli eseguibili

In effetti piu' che di un virus o malware siamo di fronte a programmi che si possono catalogare come adware.

Si tratta comunque di link che contrariamente a quelli conosciuti siti di scommesse e giochi d'azzardo online, di provenienza per cosi dire sicura, puntano tutti a pagine di dubbia affidabilita' se non fosse altro per il modo utilizzato per pubblicizzarle in rete e cioe' con il massiccio e continuato invio di migliaia di mails di spam.

Inoltre la maggior parte de software AV cataloga gli eseguibili scaricati come codici adware e o in alcuni casi come veri e propri programmi pericolosi.

Edgar

Uso di javascript offuscato in sito di phishing BPM

Ricevute a breve intervallo di tempo due identiche mails di phishing ai danni della Banca Popolare di Milano.

Il testo appare scritto in un italiano abbastanza approssimativo mentre al contrario tutto il sistema di phishing sembra strutturato con molta cura.
Gia' dal codice source della mail si nota come le immagini gif o jpg allegate al messaggio siano ospitate su diversi siti

Aprendo nel browser il link presente in mail abbiamo una sorpresa

Il codice della pagina, molto semplice, rivela infatti la presenza di un script java offuscato che deoffuscato
punta ad una seconda pagina, sul medesimo server, con contenuto completamente offuscato

che e' in realta' la home del sito di phishing


Una analisi del contenuto dimostra che tutte le immagini gif o jpg presenti sono hostate sul medesimo sito spagnolo compromesso che ospitava gia' le immagini presenti in mail,

Ecco un whois

Ed ecco i files contenuti

con data recente


Analizzando invece l'url del sito di phishing si nota che e' stato utilizzato un servizio free di hosting

locato in Repubblica Ceca

Una volta effettuato il login sul falso sito BPM viene presentata una seconda pagina, ancora con con contenuto source offuscato da script java, e che presenta la maschera di input dei codici di sicurezza.
Da questa pagina, senza ulteriori controlli dell'input sul form, basta confermare per venire rediretti al reale sito della Banca Popolare di Milano

Come ulteriore curiosita', una ricerca in rete, trova il falso sito di phishing della banca anche a poche ore dalla sua creazione, cosa che non avviene frequentemente,
e che da' una ulteriore parvenza di ufficialita' al phishing ai danni di BPM

Interessante notare che in questo caso, per eludere probabili controlli sul contenuto delle pagine, si e' utilizzata ampiamente la tecnica di offuscare il codice, cosa che non vediamo spesso nei siti phishing.

Una mail di phishing simile, sempre ai danni di BPM e sempre con la medesima caratteristica di aver le pagine costituite da codice offuscato era gia' stata ricevuta nel dicembre 2008

Edgar

mercoledì 25 febbraio 2009

Aggiornamento malware 25/02

Alcuni aggiornamenti sui files malware linkati da pagine italiane.

Come sempre evitate di visitare i siti ed i link elencati nel post se non avete preso le dovute precauzioni.

Si tratta infatti di links e pagine attive che propongono quasi sempre in maniera automatica il download di falsi player, plugin o install tutti in realta' malware pochissimo riconosciuto dai softwares antivirus piu' diffusi.

Fortunatamente la pericolosita', nel caso dei link inseriti in maniera nascosta, e' limitata dal fatto che la maggior parte di questi non viene normalmente mostrata a chi vista le pagine coinvolte.

I collegamenti vengono infatti principalmente utilizzati per forzare i motori di ricerca ad indicizzare con facilita i links proposti.
A conferma di questo per poter visualizzare i links nascosti, occorre spesso forzare il browser a fornire un 'user agent' del tipo Google Bot ossia simulare la visita del sito da parte del crawler del motore di ricerca.

Per quanto si riferisce invece ai numerosi link presenti sui post fasulli di forum anche .IT la pericolosita e' maggiore in quanto collegamenti ben visibili, inseriti a volte su foto (quasi sempre di genere porno), facilmente cliccabili e che puntano a pagine con malware quasi sempre aggiornato in tempo reale.

Vediamo ora alcuni odierni esempi:

Questo falso flash installer

su pagina linkata da post su forum italiano e che VT rileva poco conosciuto

Ecco invece un utilizzo ormai consueto per Google Groups. anche nella versione italiana

con link a contenuto variabile.
Vengono infatti caricate ad ogni click sul link differenti pagine tra le quali:

oppuredifferenti come indirizzo ip ma comunque che propongono tutte malware poco riconosciuto:

Uno dei range IP coinvolti mostra una notevole quantita' di siti dubbi


Questo invece un sito .IT che risulta aggiornato nelle date degli eventi elencati e quindi online ed attivo

che, ad esempio sulla homepage, ospita un grande numero di links

che tramite redirect su sito polacco puntano in automatico a pagina

che scarica un eseguibile (con nome variabile a seconda del valore chiave aggiunto in url) che praticamente e sconosciuto ai principali softwares av presenti su VT


Per finire ecco una caso che non rientra nei precedenti ma che e' comunque interessante.

Si tratta di una particolare url che imita il noto sito di archiviazione immagini photobucket.com

e che , tramite redirect, cliccando sul codice php, scarica sul pc una falsa immagine jpg (notare la doppia estensione ) che e' malware poco riconosciuto dai principali softwares AV

Ed ecco un riassunto sia dei files scaricati che del loro range IP di provenienza che non e' necessariamente quello della pagina con il falso player, ma puo' essere un links ad altro sito, utilizzato solo per hostare il file malware.


Anche questa volta si nota in maggioranza una origine Est Europea.

Edgar

martedì 24 febbraio 2009

Aggiornamento geo localizzazione pagina Waledac Botnet 24/2

Una ulteriore verifica sulle pagine Waledac a finalmente permesso di rilevare la presenza della geo localizzazione del testo

Ecco alcuni esempi


forzando un IP 'italiano' attraverso l'uso di Portable Tor configurando gli ExitNodes relativi all'Italia

Un altro esempio con IP 'italiano'

e questo con IP 'tedesco'


La spiegazione del precedente risultato nullo, consiste nel fatto che richiamando direttamente il dominio senza aggiungere alla url anche il riferimento al codice php es. yourcountycoupon(dot)com la pagina vene si' caricata ma senza la presenza nel testo del riferimento geografico di chi la visita

Nelle mails di spam che puntano a Waledac risulta presente un indirizzo comprensivo di riferimento a codice php (sales.php, salelist.php, ecc.........) e quindi al momento del caricamento della pagina yourcountycoupon(dot)com/sales.php avremo la personalizzazione del testo.

Sicuramente con questo espediente e' piu' probabile che chi ricevera' la mail di spam possa essere tentato a scaricare il file eseguibile incuriosito dal fatto che anche 'dalle sue parti" esistono queste offerte 'speciali'

Aggiornamento Waledac Botnet 24/2 (10 PM thai time – 4 PM italian time)

A seguito di un nuovo 'aggiornamento' del codice pericoloso, una scansione Virus Total del file eseguibile proposto dalla pagina Waledac

dimostra nuovamente un quasi nullo riconoscimento del malware da parte dei piu diffusi antivirus.

Edgar