martedì 30 giugno 2009

Ancora phishing PosteIT e Intesa San Paolo con alcune conferme (30/06)

Ricevute altre due mail di phishing che dimostrano un nuovo incremento di spam ai danni sia di PosteIT che di Intesa San Paolo.

Quella ai danni di PosteIT conferma lo stato attivo del sito visto ieri.

Il sito viene linkato tramite questo redirect

che, cosa che non capita spesso, usa un sito norvegese compromesso:


Il sito di phishing invece e' quello visto nel post precedente.


La mail di phishing ai danni di Intesa San Paolo invece,


pur con differente URL del phishing, conferma il medesimo IP russo gia' visto in questo post,

con il 'solito' layout del login di verifica del conto della carta di credito.

Edgar

Continua il phishing ai danni di Banca Intesa e PosteIT

Una nuova mail ai danni di Intesa San Paolo ricevuta in serata

e con redirect

su sito di phishing incluso in
Filoutage mi segnala invece quest'altro sito attivo di phishing ai danni di PosteIT


hostato su

Edgar

lunedì 29 giugno 2009

Un 'bonus' ai danni di Intesa San Paolo e che coinvolge anche altri siti .IT

Ecco una mail di phishing ricevuta oggi che non e' ai danni di PosteIT come ci sarebbe da aspettarsi, trattandosi di 'bonus”, ma invece cerca di ingannare gli utenti di Intesa San Paolo

Questa la mail

e questo il codice sorgente del messaggio:


Come si nota vengono coinvolti 2 siti italiani per linkare due immagini che compaiono in mail e precisamente:

un sito appartenente alla associazione dei Comuni Italiani

con whois
e che hosta in un folder nascosto il logo PosteIT.

Un sito con whois

appartenente ad azienda IT e che ha sulla home una immagine relativa ad un numero verde


Questa immagine di numero verde viene linkata sul messaggio mail di phishing

Una volta cliccato sul link presente in mail, si viene indirizzati su sito locato in Taiwan che effettua il redirect.

In questo sito e' presente un folder che contiene una notevole quantita di link a codice php

che una volta eseguito reindirizza su sito in lingua russa, ma hostato in USA, che al suo interno ospita il phishing:


La pagina di phishing e' una copia della home banca intesa con l'aggiunta di un form di login per la cattura di dati sensibili di chi cadesse nel tranello.

Per quanto si riferisce al form di immissione dei dati personali non vengono effettuati controlli particolari sui dati inseriti ma una volta cliccato sul pulsante 'confermare' si viene rediretti sul reale sito Banca Intesa San Paolo.

Edgar

domenica 28 giugno 2009

Phishing 28/06 (aggiornamenti)

Tra le segnalazioni d Filoutage che ho ricevuto oggi risultano interessanti questi due siti:

Un sito di phishing ai danni di CartaSI



che, come si vede da un whois, e' anche hostato su IP italiano


Questo sito di phishing ai danni di PosteIT


che, come si vede da un whois, e' hostato su server locato in Taiwan



Analizzando i contenuti del sito di phishing risultano comunque date non recenti

Edgar

Phishing 28/06

Dopo qualche giorno di pausa, sembra riprendere il phishing ai danni sia di CartaSi che di Intesa San Paolo.

Ecco una mail di phishing ai danni di Intesa San Paolo


con particolare layout del messaggio costituito da tre immagini in formato GIF

Ecco in dettaglio il layout della mail che ci mostra le tre parti di immagine che vanno a comporre il testo del messaggio scritto in un italiano poco corretto.


E presente inoltre un testo con un indirizzo in lingua inglese dal non chiaro significato per una mail di phishing ai danni di banca italiana.


La mail tramite un consueto redirect

punta a sito di phishing recente, hostato su

Ecco un dettaglio della struttra del sito di phishing Intesa San Paolo


Questa invece la mail ai danni di CartaSi, scritta un un italiano decisamente piu' corretto rispetto alla precedente Intesa San Paolo


Anche questa volta abbiamo un redirect


che passa per sito THAI


e che punta a sito finale di falso login di verifica movimenti sul conto della carta di credito


su sito compromesso su dominio .BR ma hostato su server canadese.

Edgar

Hacking 28/06

Tutti i 4 siti su questo ip .IT


di hoster, gia' presente piu' volte in passato in elenchi di siti compromessi , presentano questa inclusione di pagina web

Ecco un report Webscanner dei siti colpiti


Edgar

sabato 27 giugno 2009

Le “Brutte Notizie” sono una opportunita' per diffondere malware .La conferma.

Ecco la conferma di quanto anticipato nel post di ieri

La piattaforma di gestione blog VOX (Vox is an Internet blogging service run by Six Apart, which launched on October 26, 2006. ) e' diventata nelle ultime ora la distributrice di links che puntano a pagine di falso blog con collegamento a malware come risultato di ricerche in rete

Ecco una delle pagine di blog presenti su VOX a cui veniamo linkati

Probabilmente queste pagine erano gia' pronte per la notizia della morte di Farrah Fawcett in quanto come si puo' notare non si parla della scomparsa di Michael Jackson.

In ogni caso si tratta di un blog di utente fasullo creato da poco con il solo scopo di fornire links a malware e dove notiamo in evidenza uno falso screen di player video che e' tipico di queste pagine pericolose.

Cliccando sul falso player abbiamo , tramite redirect, con diversi passaggi l'apertura di questa pagina (gia vista in passato)

con nuovamente l'immagine del player video, che se cliccata scarica sul pc un falso stream viewer, file exe in realta malware.

Da notare che la pagina con il falso player e' una pagina per cosi dire 'standard' a cui si viene rediretti anche da siti di falsi filmati video di solito di genere porno, da links presenti in falsi forum ecc... e che viene ora utilizzata per questa 'distribuzione' malware.

Una analisi VT rivela il solito basso riconoscimento del file eseguibile che , anche questa volta, presenta una mutazione del codice ad ogni download, per eludere meglio i softwares AV.


Per quanto si riferisce ai vari redirect tra sito VOX e sito finale malware, c'e' anche da notare l'utilizzo del riconoscimento del referer restituito dal browser in quanto un accesso diretto a detti siti provoca l'apertura di Google e non del sito pericoloso.

A parte questo genere di distribuzione malware sono molte le info in rete al riguardo anche della comparsa di mail di spam ad oggetto la morte di Michael Jackson

e con il relativo malware linkato (fonte www.sophos.com)

Edgar

Uso di siti .IT per phishing su banche estere e phishing HSBC

Il gruppo bancario inglese HSBC sembra essere uno di quelli maggiormente presi di mira negli ultimi giorni da attacchi di phishing. (segnalazioni Filoutage)

Qui vediamo ad esempio un sito thai che ospita sia una pagina di phishing ai danni di HSBC

mentre sempre, come succede molto spesso , lo stesso sito ospita altri phishing come ad esempio questo ai danni di Halifax (altro sito di online banking di gruppo bancario UK)

In questa estesa azione di phishing non poteva mancare anche il coinvolgimento di un nuovo sito IT compromesso e precisamente questo


di agenzia turistica che ospita il phishing sempre ai danni di HSBC

In particolare possiamo notare che una buona parte di siti compromessi con phishing ai danni di HSBC sembra provenire da siti compromessi .IT tutti hostati sul medesimo server


come si vede da questo IP che nei giorni scorsi e' apparso parecchie volte (post 1 , post 2 ) come sorgente di phishing ai danni di gruppi bancari UK.


C'e' anche da evidenziare che , ancora una volta, il sito .IT compromesso e' stato sviluppato in Joomla

e ritorna il dubbio che si tratti nuovamente di un uso di qualche vulnerabilita Joomla non corretta che ha permesso di inserire le pagine di phishing all'interno del sito .IT.

Edgar

venerdì 26 giugno 2009

Le “Brutte Notizie” sono una opportunita' per diffondere malware

E' apparso su McAfee Research Blog un post che ritengo molto interessante al riguardo di come possano essere utilizzate le "Brutte Notizie" di queste ore (morte di di Farrah Fawcett e Michael Jackson) per tentare di diffondere malware o links a siti di pharmacy, falsi Av ecc....

Eccone una sintesi dei contenuti :
-----------------------------------------------------------------------------------------------
Con la morte di Farrah Fawcett e Michael Jackson, e' bene ricordare ai nostri lettori alla ricerca delle relative notizie, i possibili tentativi messi in atto per distribuire malware

Ogni volta che accade una catastrofe o notizie che comunque coinvolgono una celebrita', i creatori di malware cercano di trarne vantaggio.

Il vettore di attacco piu' comune e' l'email.
Attenzione quindi allo spam che offre collegamenti a "news" o "immagini" alle ultime notizie.
La maggior parte dei links presenti nelle mail di spam vi portera' a siti web che distribuiscono pharmacy (prodotti come Viagra e Cialis) o, peggio ancora, a siti che tentano di installare malware sul PC.

Ma un altro modo per attirare i visitatori alla ricerca di notizie e' una tecnica conosciuta come ottimizzazione dei risultati dei motori di ricerca, nel tentativo di mettere i link pericolosi ai primi posti di una ricerca in rete e redirigere gli utenti su falsi siti web che dovrebbero offrire "maggiori informazioni" circa il fatto del giorno.
Quando l'utente clicchera' sul falso links che dovrebbe mostrare le ultime notizie ci sara' da aspettarsi ogni tipo di attacco, dall'installazione di spyware o malware sino al furto di informazioni sensibili.

Il post continua poi indicando l'uso di SiteAdvisor (www.siteadvisor.com) come un possibile strumento per identificare il link potenzialmente dannoso fornito dai risultati di ricerca.

----------------------------------------------------------------------------------------------------
E' comunque probabile che lo spam di mails con links dubbi o pericolosi che potrebbero sfruttare queste notizie, se ci sara', dovrebbe essere orientato piu' ad una utenza USA o di lingua inglese.
In ogni caso anche l'uso di Noscript per chi usa Firefox e l'esecuzione del browser in Sandboxie possono ridurre i rischi derivanti da una ricerca in rete che dovesse portare a qualcuno di questi links pericolosi.

Edgar

Ancora phishing PosteIT (aggiornamento 26 06)

Ricevuta l'ennesima mai di phishing ai danni di PosteIT che propone il solito bonus e che, anche questa volta, ha un testo scritto in un italiano decisamente comico.

L'unica particolarita' interessante e' l'utilizzo dello stesso sito di phishing gia usato per precedente phishing ai danni di PosteIT (questo il post) , che viene linkato tramite un redirect su sito intermedio diverso dalla volta scorsa:

Il sito finale, la cui homepage e' in lingua turca, anche se whois UK, presenta questa pagina che ne conferma le vulnerabilita'

Edgar