venerdì 31 luglio 2009

Alcuni siti IT compromessi che distribuiscono falsi AV

Sono sempre numerosi i siti, anche su dominio IT, che ogni giorno vengono compromessi con l'inclusione di pagine nascoste, allo scopo di diffondere false applicazioni AV, phishing, ecc... .

Per quanto si riferisce alla distribuzione in rete di false applicazioni AV il loro numero e' aumentato molto in questi ultimi mesi fino a raggiungere cifre raguardevoli come apparso su Punto Informatico ...Mentre nel primo quarto del 2008 erano solo mille i malware che si spacciavano per antivirus, evidenzia l'analisi, in un anno sono cresciuti fino a 111mila e nel secondo quarto del 2009 saranno 374mila....” ed ancora “........ i distributori di finti antivirus possono guadagnare in un giorno anche 11mila dollari e complessivamente il business genererebbe all'incirca 5 milioni di dollari l'anno....”

Quelli che vedremo ora e' il dettaglio del contenuto di un certo numero di siti IT compromessi, che da una ricerca in rete risultano attualmente presentare al loro interno l'inserimento di diverse pagine tutte ospitate su indirizzo in genere costituito da sequenza numerica del tipo

www.indirizzo_del_sito/x/yyyy/

(dove x e yyyy sono numeri che variano da sito a sito colpito)


Lo scopo, quando un motore di ricerca indicizzera' le pagine inserite in maniera nascosta sui siti compromessi, sara' quello di generare risultati di ricerca che punteranno a falsi AV...ecc.....
In realta', se il browser presenta l'esecuzione degli script java attivata, non verra' neanche visualizzata la pagina vista ora, in quanto, tramite questo codice debolmente offuscato presente al suo interno
si verra rediretti su un sito che maniera random linkera' a differenti pagine di falsi scanners AV (test effettuato simulando IP italiano tramite proxy)

Ed ecco due dei falsi scanner linkati:

Il primo

con riconoscimento da parte dei reali software AV abbastanza basso


mentre il secondo sito di falso scanner online

presenta un riconoscimento del falso AV praticamente nullo


A conferma della sempre piu' estesa attivita' di chi distribuisce false applicazioni AV ecco il contenuto di un server attualmente su whois tedesco, che propone un vero e proprio repository di false applicazioni AV pronte per la 'distribuzione' come files eseguibili ma anche presenti in blocco in files compressi (forse usati per trasferire tra vari server di distribuzione i files).

In particolare i files evidenziati in giallo presentano date recenti e risultano poco riconosciuti dai softwares AV su VT.

Edgar

Phishing HSBC su servers IT

Si tratta di alcune pagine di phishing ai danni di HSBC (segnalate da Filoutage)

tutte hostate su server IT che ospitano siti .IT compromessi e di cui vediamo alcuni whois

Edgar

Ancora attivo il phishing su siti FastFlux ai danni di Intesa SP e PosteIT

NB. Anche se alcuni links sono in chiaro usate attenzione nel visitare le pagine in quanto si tratta pur sempre di siti fastflux di probabile botnet che potrebbe anche cambiare contenuti passando da phishing a qualcosa di piu' pericoloso (exploit, ecc....).

Sempre attivo il sito

mltjd(dot)com

che propone link con redirect a pagina di phishing Intesa San Paolo sempre su fastflux:


Per quanto si riferisce a PosteIT si e' aggiunto questo nuovo indirizzo web

katlna(dot)com

che come si puo' notare dallo screenshot utilizza sempre indirizzi IP multipli.

Edgar

Siti IT compromessi (agg. 31 luglio 09)

Una buona parte di siti hostati su

presentava al momento di scrivere il post (ore 4 AM in Italia) la homepage sostituita con

ma in alcuni casi anche con

Questo un report Webscanner dove si nota l'elevato numero di siti colpiti e le diverse dimensioni del file source in relazione a differenti layout della pagina di hacking.

Edgar

giovedì 30 luglio 2009

Anche per PosteIT phishing con FastFlux

NB. Anche se alcuni links sono in chiaro usate attenzione nel visitare le pagine in quanto si tratta pur sempre di sito fastflux di probabile botnet che potrebbe anche cambiare contenuti passando da phishing a qualcosa di piu' pericoloso (exploit, ecc....).

Era gia' successo in questi ultimi giorni che alcuni siti di phishing utilizzassero ampiamente la tecnica FastFlux con variazione dell'IP del sito linkato per colpire ad esempio Banca Intesa San Paolo.(phishing ormai attivo da qualche giorno e con il sito mltjd(dot)com perfettamente raggiungibile anche questa mattina ).

E' di oggi la ricezione di una mail di phishing ai danni di poste IT

che sfrutta come primo redirect questo link a:

sdrbl(dot)com

che utilizza fastflux come vediamo da questo whois ciclico eseguito sull'indirizzo web.

sdrbl(dot) com redirige poi su altro sito FastFlux e precisamente

kaciae(dot)

com che attiva una connessione a StatCounter

e nel contempo carica il sito di phishing PosteIT

che dimostra anche un certo livello di verifica dei dai inseriti.


In pratica abbiamo quindi:

Una mail scritta in buon italiano, un sito di phishing che attua una verifica anche se parziale dei dati digitati (cosa poco comune in questo genere di pagine di login fasulle che di solito accettano qualunque testo digitato) e per finire, e questa e' la cosa piu' rilevante, un utilizzo doppio (sia nel redirect che nel sito finale) di fastFlux che potrebbe rendere praticamente impossibile una messa offline del phishing visto ora.

Come si vede si tratta di una azione ai danni di PosteIT certamente di rilievo rispetto al 'normale' phishing che propone siti che al massimo restano online un giorno o due.

Edgar

mercoledì 29 luglio 2009

Phishing PosteIT sempre molto attivo (agg.29/07)

La 'campagna' di phishing ai danni di PosteIT, anche basandomi sulle mail ricevute direttamente, e' sempre molto intensa, come si vede da questo parziale elenco degli ultimi giorni

L'unica nota positiva e che forse,osservando i files txt con i dati di login che sono ultimamente inseriti in chiaro nei siti, e' sempre maggiore la consapevolezza di chi riceve queste mails che si tratta di false comunicazioni con il solo scopo di rubare dati personali.

Per quanto si riferisce al redirect da parte del sito taiwanese compromesso visto nei giorni scorsi il cui link proposto cicla frequentemente su differenti siti di phishing, questa mattina si sono aggiunti altri nuovi indirizzi.

Sempre attivo anche l'uso di alias per mascherare la reale url utilizzata in nuovi siti di phishing PosteIT e di cui vediamo un nuovo esempio.

Questa la struttura di un sito hostato su server PL

server che risulta praticamente compromesso in quanto essendo presente una shell php (evidenziata in rosso nello screenshot) , tra l'altro abbastanza datata, e di cui vediamo il menu'

tutto il contenuto del disco e' raggiungibile e modificabile.

Doverebbe trattarsi di un fornitore di servizi internet polacco di cui vediamo un dettaglio della homepage tradotto con Google.

Sul sito sono presenti 3 differenti siti di phishing ai danni di PosteIT tutti con data di creazione recente come si vede dal dettaglio della struttura del sito.

Anche in questo caso la pericolosita' di queste azioni di phishing risiede oltre che nel tentativo di rubare dati personali anche al fatto di mettere praticamente online sia liste di dati acquisiti (password di login...ecc....) ma anche, come in questo caso, funzionanti interfacce di shell php che chiunque potrebbe, anche solo per curiosita', provare ad utilizzare con la conseguenza di possibili danni ai contenuti del server compromesso.

Edgar

martedì 28 luglio 2009

Ancora due aggiornamenti su siti di phishing apparsi di recente

NB. Anche se alcuni links sono in chiaro (es.la pagina di phishing Intesa SP) usate attenzione nel visitare le pagine in quanto si tratta pur sempre di sito fastflux di probabile botnet che potrebbe anche cambiare contenuti passando da phishing a qualcosa di piu' pericoloso (exploit, ecc....).

Si tratta del sito di Taiwan che sembra redirigere su un vasto numero di pagine di phishing ai danni di PosteIT

Quest'oggi il redirect ha puntato inizialmente, a nuovo sito compromesso, che tra l'altro dovrebbe trattare di software Open Source Linux e di sicurezza in rete, ma che vede al suo interno la presenza di pagina di phishing ai danni di PosteIT.

Anche questa volta , vista l'origine comune di questo sito di phishing ai danni di PosteIT con quelli precedenti e' stato probabilmente utilizzato il medesimo KIT di phishing che come avevamo visto in precedenza utilizzava un file user.txt per salvare i dati di login degli utenti di PosteIT caduti nel tranello del falso sito.

Una ricerca del file infatti propone il solito file user.TXT che questa volta, almeno per ora, sembra contenere tutti dati di fantasia e non reali, introdotti da chi evidentemente conosce la natura fraudolenta della mail ricevuta.

Successivamente il redirect e' stato nuovamente modificato proponendo un sito compromesso, sempre USA, che tratta di Web Design – Web Hosting ecc....
Anche questa volta il solito sito di phishing PosteIT con il consueto file user.txt facilmente raggiungibile.

E' probabile che ci saranno ancora altre variazioni degli indirizzi di phishing almeno sino a quando il sito principale di redirect hostato in Taiwan sara' attivo.

Per quanto riguarda l'uso di fastflux per distribuire phishing, sono sempre attivi quelli segnalati nei giorni scorsi, tra cui, ad esempio questo

mltjd(dot)com

che redirige su altro indirizzo sempre con la medesima tipologia di variazione dell'IP di provenienza con questi risultati:

A titolo di curiosita', vorrei far notare a chi utilizza Phishtank che nello stesso momento di acquisizione di questo screenshot, la lista, al riguardo di mltjd(dot)com , presentava la pagina di phishing come OFFLINE:

questo non per contestare la validita' di repository di phishing quali phishtank, ma per evidenziare che si tratta di liste gestite in maniera automatizzata che a volte non rispecchiano l'attuale situazione dei siti (sia online che offline).

Come sempre l'uso di IP che variano ad ogni consultazione delle pagine ne rende difficoltosa se non praticamente nulla la possibilita' di stabilirne la reale provenienza permettendone cosi' il mantenimento online per molto tempo

Edgar

lunedì 27 luglio 2009

Aggiornamenti sul phishing ai danni di PosteIT

Il sito compromesso con whois Taiwan visto questa mattina e che reindirizzava sul sito di phishing pesantemente compromesso hostato in USA presenta una nuova caratteristica che lo rende diverso dai normali phishing con redirect che vediamo tutti i giorni.

Sembra infatti che il sito di phishing finale a cui punta il sito di Taiwan muti ciclicamente ad intervalli di qualche ora

Nel tardo pomeriggio di oggi infatti, seguendo il link in mail si veniva reindirizzati su questo sito con whois USA che propone al suo interno anche il completo KIT di creazione del phishing ai danni di PosteIT

Questo il contenuto del file .TAR che mostra come alcuni dei files abbiano data di ieri e tra i quali notiamo i files in formato TXT che conterranno i dati di chi avra' effettuato il login sul falso sito.


Attraverso la path dei files di testo indicata nel file TAR possiamo quindi verificare se effettivamente esistono questi file online sul sito di phishing, ed in effetti abbiamo la conferma della loro esistenza.

Anche questa volta sembrerebbe che la maggior parte di chi si e' loggato al falso sito di PosteIT sia al corrente che si tratta di phishing ma rimangono comunque alcuni utenti che forse potrebbero aver digitato i dati di accesso personali in maniera corretta.

Dopo qualche ora il redirect tramite sito taiwanese e' di nuovo mutato puntando a nuovo sito di phishing con redirect su sito australiano compromesso (al momento di scrivere il post e' offline) per poi ritornare sul sito visto questa mattina nel precedente post.

In pratica a fronte di una mail abbiamo diversi indirizzi di phishing che sono sempre attivi in quanto sfruttano il redirect iniziale.

E' probabile che questo continuo variare del redirect serva per tentare di rendere le pagine di phishing piu difficili da rilevare anche se c'e' da dire che, essendo tutte raggiungibili solo dal link presente in mail e relativo al sito di Taiwan basterebbe che la pagina che ospita il codice di redirect fosse messa offline per bloccare di fatto la diffusione di tutti i siti di phishing ai danni di PosteIT visti ora.

Edgar

Phishing PosteIT e sito pesantemente compromesso

Quella ricevuta oggi, tra le tante, sembrava un mail di phishing ai danni di PosteIT delle solite, ma una analisi dei contenuti a permesso di scoprire un sito USA che definire compromesso e' forse riduttivo

Ecco il contenuto della mail


con un testo che, contrariamente alla norma, e' scritto in un buon italiano.

Il link presente effettua un redirect tramite sito intermedio

che redirige al sito finale hostato su

A questo punto possiamo analizzare la struttura dell'intero sito che ospita il phishing

che mostra essere stato compromesso in maniera molto pesante.

Ecco infatti il folder che ospita ben 4 sub-folder contenenti altrettanti copie del sito di phishing ai danni di PosteIT ma non solo


Come si vede ci sono anche in abbondanza tutti gli strumenti utilizzati per gestire il phishing e precisamente:

una shell R57


una shell C9


ed un tool comprensivo di varie opzioni tra cui una di mass mailer


La cosa piu' evidente e' che tramite shell siano resi disponibili per qualunque operazione di hacking non solo i codici del singolo sito che ospita il phishing ma parrebbe l'intero server con centinaia di siti web ospitati



dimostrando un livello globale di sicurezza veramente ai minimi termini.

Edgar

Siti compromessi in massa su server IT (27 luglio o9)

Praticamente la totalita' dei siti IT presenti su

ha, al momento di scrivere il post, la homepage sostituita da

Questo un parziale report Webscanner che dimostra l'altissimo numero di siti compromessi

che ancora una volta evidenzia le tante vulnerabilita presenti in rete attualmente e che come conseguenza porta anche ad incrementi online di siti ad esempio di phising o di distribuzione malware.

Qui vediamo invece come si presenta questa mattina la homepage

di alcuni IT siti hosti su


Edgar

Ancora phishing ai danni di banca italiana e dati di login online

Su segnalazione Filoutage, ecco un sito di phishing, questa volta ai danni di banca italiana e precisamente Banca Fideuram


dove analizzandone la struttura notiamo la presenza di un file TXT

contenente i dati completi di login piu l'indirizzo IP di provenienza di chi fosse caduto nel tranello della falsa pagina creando cosi' un doppio rischio per chi avesse fornito i reali dati personali (oltre che chi gestisce il phishing anche qualunque malintenzionato che visitasse il sito potrebbe facilmente venire in possesso del file di login)

Come nei casi precedenti, una volta effettuato l'accesso al falso sito si viene poi rediretti sul reale sito di banca Fideuram.

Visto che anche in questo caso , viene inviato dal browser il referer di provenienza ,

sarebbe interessante valutare la fattibilita' di una procedura che attivi una pagina di allerta per chi si connettesse al reale sito della banca provenendo da uno di phishing.

Questo sistema, se attuabile, sarebbe specialmente utile per siti di phishing che rimangono online non le consuete poche ore ma giorni (vedi attuale fast flux ai danni di Intesa San Paolo) o addirittura settimane (caso di typosquatting piu' phishing che ha coinvolto Banca Generali il mese scorso) poiche' piu' facilmente si potrebbe essere informati sulle URL di phishing da filtrare.

Una tecnica simile ricordo che' e' gia' stata implementata da Facebook , come ho scritto in questo recente post.

Edgar

domenica 26 luglio 2009

Aggiornamento Waledac botnet (26 luglio 09)

Sono attivi al momento, come risulta dal report presente su Sudosecure, alcuni nuovi nomi di dominio che continuano a presentare un codice che linka in automatico a diverse pagine di pharmacy.

Continua quello che e' gia' successo in passato, e cioe', dopo la campagna di distribuzione malware, ora la botnet, probabilmente solo in parte, viene usata per distribuire links a pagine di pharmacy ,con layout e contenuti, gia' visti da tempo in rete.

Un breve report eseguito con uno script Autoit che attua un whois ciclico su uno dei nuovi domini Waledac conferma sempre la modalita' fastflux con variazione continua dell'IP di provenienza.

Edgar

Aggiornamento phishing Intesa su FastFlux (26 luglio 09)

A distanza di qualche giorno, una analisi dei siti di phishing in tecnica FastFlux ai danni di Intesa San Paolo dimostra che tutti i domini visti nei precedenti post sono online ed attivi

I 3 siti coinvolti al momento sono sempre

mltjd(dot)com

jdfrt(dot)com

dsrth(dot)com

Come c'era da aspettarsi una azione di phishing con queste caratteristiche puo' restare attiva per molto tempo considerato che viene utilizzata una tecnica FastFlux su probabile botnet di PC compromessi, cosa che rende sicuramente molto difficile la possibilita' di messa offline dei domini coinvolti.

Una breve scansione di jdfrt(dot)com dimostra che gli IP di provenienza appartenenti a PC compromessi hanno sempre una origine in prevalenza di paesi dell'est Europa come ad esempio la Romania.

Edgar

sabato 25 luglio 2009

Phishing e dati di login online

Capita qualche volta che chi gestisce il phishing crei siti che mettono a disposizione in maniera abbastanza facile anche la lista completa dei dati di login.

E' l'esempio di questo sito di phishing Ebay, segnalatomi da Filoutage,hostato su server non italiano ed in lingua inglese che, come si vede dalla URL , presenta un indirizzo che rispecchia il piu' possibile l'originale, per ingannare meglio chi riceve la mail di phishing.

Analizzando la struttura notiamo la presenza di un file TXT dal nome inequivocabile

che se aperto mostra questi contenuti

Si tratta della lista aggiornata dell'user name e password usati da chi ha efettuato il login al falso sito EBay

Una verifica dei contenuti pare mostrare che una buona parte di chi si e' loggato al sito abbia fornito dati reali e non di fantasia.

In questo caso oltre al gia' rilevante danno del phishing relativo al furto di dati personali viene anche a moltiplicarsi il rischio di vedere i propri dati di accesso resi pubblici e disponibili per qualunque malintenzionato che volesse approfittarne.

Avendo ricevuto solo la segnalazione del sito e non essendo questo post conseguenza del ricevimento di una mail, ed inoltre considerando i nomi di login presenti nel file txt visto prima e la lingua utilizzata nel layout della falsa pagina (inglese), dovrebbe comunque trattarsi di phishing non rivolto ad utenti italiani di Ebay.

Edgar