lunedì 30 novembre 2009

Aggiornamenti vari su distribuzione phishing e links pericolosi (30 novembre)

AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta, in alcuni casi, di pagine con links ad eseguibili spesso poco riconosciuti dagli AV.

Filoutage
mi segnala questo sito compromesso di Societa' di Chirurgia italiana

che al suo interno ospita un phishing ai danni di Bank Of America


Questo invece un sito compromesso su IP Usa a cui i viene linkati dall'ennesimo blog, myblog.it, creato allo scopo di distribuire links pericolosi

Il sito compromesso redirige poi, tramite script, su questo falso player, dal layout ben noto

che cerca di far scaricare un eseguibile, gia' visto molte volte in passato , e che questa mattina (ora thai) e sconosciuto a tutti i software presenti su VT


(ricordando sempre i limiti della scansione AV online, e cioe' la possibilita' che alcuni software AV possano rilevare il pericolo quando il file scaricato venisse eseguito sul pc.)

Tra laltro sullo stesso IP del 'fake' player si possono notare altre url dal nome simile e probabilmente create per il medesimo scopo


Ecco invece un sito IT a tema natalizio

legato alla presenza di questa pagina di phishing ai danni di Abbey Bank


Questo, per terminare, un report che elenca attuali siti IT

compromessi con la sostituzione della homepage da questa pagina

ma anche (vedi screenshot) in alcuni casi con l'inclusione della stessa pagina all'interno del sito colpito.

Questo un whois dei siti compromessi

Come si nota, la maggior parte delle attivita' illecite viste, si basa sulla presenza di links o di pagine incluse su siti compromessi o di cui si sfruttano alcune caratteristiche (vedi la possibilita' di creare utenti non autorizzati per linkare a malware) , confermando la tendenza attuale dell'uso di siti legittimi invece che, come succedeva molto in passato, di siti creati appositamente allo scopo.

Edgar

domenica 29 novembre 2009

'Solo qui potrai trovare le copie della migliore qualita' ' (spam natalizio 2009)

Si tratta di decine di mails di spam che presentano un testo scritto in un italiano approssimativo, ma che comunque indica chiaramente di cosa si tratta e cioe' di 'copie' di borse, orologi ecc.... di note marche.

Ecco una mail 'tipo':

mentre questo e' un elenco parziale delle decine di mails ricevute in questi ultimi giorni.

Come si puo' notare, sia l'oggetto che il testo presente in mail sono in lingua italiana.

I link presenti in mail puntano a siti come questo

oppure

che propongono un vasto campionario di merce 'copiata'

Un whois dei siti in questione mostra la prevalenza di IP cinesi


Sia gli IP che le urls compaiono anche nelle piu' importanti liste online di siti di spam e scam, come vediamo in questo screenshot tratto da malwareurl.com

Edgar

sabato 28 novembre 2009

Fakes Google ed I-Google on-line su dominio .IT (aggiornamenti)

AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di pagine con links ad eseguibili spesso poco riconosciuti dagli AV.

Continua la presenza di false pagine Google e I-Google on-line, come codici inclusi all'interno di siti IT compromessi e di cui ho gia scritto in questo precedente post.

Questa una ricerca delle ultime ore che dimostra alcuni nuovi siti IT che compaiono nei risultati


Le pagine incluse presentano un layout che riproduce la pagina di ricerca di Google


e contengono al loro interno decine di links tutti differenti, che puntano a siti compromessi, che a loro volta ospitano pagine simili a blog.

Ognuna di queste pagine di fake blog presenta oltre ad uno script offuscato anche decine di links ad altre pagine simili ed incluse nel medesimo sito compromesso per aumentare l'efficacia dei links proposti.

Ecco alcuni esempi di falso blog tra i tanti 'disponibili' online (ogni layout differente corrisponde a differente sito compromesso)

e l'elenco potrebbe continuare con numerosi e differenti layout.

A loro volta, tramite script offuscato,

queste pagine redirigono la navigazione su sito con whois tedesco che poi redirige successivamente a fake scanner AV (in questo caso whois canadese), come gia' indicato nel precedente post.


Interessante notare che una analisi VT , a parte il basso riconoscimento, evidenzia il file eseguibile scaricato dal falso scanner AV sia come fake AV ma anche, nel caso di Sunbelt , come possibile variante di malware Zbot.


Chiaramente le false pagine Google non si limitano a siti .IT compromessi ma una ricerca, ad esempio su dominio .COM, porta a piu' di 4.000 link a siti compromessi con questo genere di contenuti:

Edgar

venerdì 27 novembre 2009

Phishing VISA Card

Mentre, almeno sulle mie mailbox di riferimento, sembra si sia notevolmente ridotto il numero di mails di phishing ai danni di Poste IT e Banche italiane (a parte i recenti casi ai danni di Cariparma restati attivi per qualche giorno) , ecco arrivare questa mail ai danni di VISA Card


che presenta, al posto del link diretto a sito di phishing, un file allegato, che e' in realta' la pagina di falso login

Analizzando il sorgente si nota che il form presente


invia i dati di login digitati nel form, a questo sito compromesso di cui vediamo la struttura nella parte relativa al phishing

La data del file dimostra che il phishing e' stato attivato ieri

Una volta acquisiti i dati, il codice presente sul sito compromesso redirige sul reale sito VISA che, caso particolare, non e' il sito ufficiale italiano e cioe' Visaitalia.com, ma quello di Visa Svizzera in lingua italiana.

Edgar

Siti IT compromessi (aggiornamento 27 novembre 09)

Un certo numero di siti hostati su IP IT

mostrano questa mattina (ora thai) la homepage sostituita da

che presenta anche un link (cliccando sullal scritta 'hacked' ) verso sito con forum che tratta l'argomento hacking

Ecco un report webscanner che mostra i siti attualmente compromessi


Edgar

giovedì 26 novembre 2009

Una inclusione di pagine con layout particolari

Si tratta di alcuni siti italiani, ma anche su dominio .com, che compaiono nei risultati di una odierna ricerca in rete, e che si distinguono dalla grande quantita' di siti IT compromessi, per il particolare layout delle pagine incluse.

Ecco come si presenta una delle pagine inserite in maniera nascosta all'interno di questi siti (notare la presenza di una favicon senza il logo Google)

ed ecco un altro layout presente:


Come si nota, si tratta di layout di pagina che clona Google, con i links presenti sulla pagina ai vari servizi Google funzionanti, ma non se si esegue una ricerca.

In realta' il source delle pagine e' composto da decine di links nascosti

a pagine simili a blog, incluse in siti legittimi ma compromessi

Pagine che al loro interno ospitano javasccripts offuscati come questo

che linkano nei casi esaminati ora (sia su dominio IT che COM ) a falso scanner Av


Lo scanner AV fasullo distribuisce uno dei tanti eseguibili sempre poco visti da una scansione VT


Estendendo la ricerca in rete si trovano siti su dominio .COM che presentano medesime caratteristiche sia come pagina inclusa che come links a cui puntano i siti che effettuano il redirect.

Un'altra particolarita'' e' che, nel caso della ricerca in particolare di siti .IT,

oppure


tutte le pagine con falso layout di Google hanno l'indirizzo web composto da parole in italiano, come se si trattasse di pagine forse gia' preesistenti sul relativo sito compromesso e che sono state modificate con l'inclusione del codice che simula il layout del motore di ricerca e dei links ad altri siti compromessi.

Edgar

Siti di Comuni, Provincie e Regioni sempre utilizzati per linkare pharmacy, vendita software ....ecc...

Sono ancora molti i siti di Amministrazione Pubblica italiana coinvolti nella distribuzione di links o pagine web, che puntano nei casi che vedremo, a siti di pharmacy (vendita medicinali online) ma anche a vendita di software di provenienza dubbia.

In genere si tratta di siti che , presentando vulnerabilita oppure essendo male gestiti o sviluppati vengono usati come supporto a ricerche in rete, sfruttando il fatto che i motori di ricerca possono indicizzare i links inseriti anche se nascosti al visitatore.

Un altro utilizzo e' quello di forum male o per niente amministrati, su siti di P.A., che diventano cosi' una ulteriore fonte di links es. a siti di pharmacy.

Vediamo alcuni esempi di siti IT attualmente online ed attivi

I siti comunali sono di solito quelli piu' colpiti, anche perche' sicuramente in numero notevolmente maggiore in rete, rispetto al limitato numero dei siti provinciali e regionali.

Inclusione di pagine:

Ecco una pagina con links a pharmacy inclusa su sito comunale


dove si nota che nella stessa vengono inseriti anche links ad altri siti IT

che ospitano la medesima pagina inclusa, e questo per aumentare l'efficacia di una indicizzazione da parte dei motori di ricerca.

Questa invece la struttura di un sito comunale sviluppato in “plone'

che come abbiamo visto in passato permette, se male programmato, la possibilita' di creare nuovi utenti allo scopo di mettere online pagine con links a pharmacy, siti dubbi, links a malware ecc....


Ecco un'altro sito comunale sviluppato in Plone con gli stessi problemi


Qui invece vediamo una serie di forum, tutti aggiornati da poche ore, che ospitano post di utenti creati per immettere messaggi con allegate immagini e links, in questo caso a noto sito di pharmacy canadese:


ed anche


Da quanto si puo' notare esaminando l'elenco dei post recenti,


oppure

sembra che i forum siano utilizzati SOLO per lo scopo di diffondere links e non vengano praticamente usati dagli utenti del sito comunale.


Questa invece una attuale inclusione non di pagina con link ma direttamente di links sulla homepage o altre pagine di un sito comunale italiano

Per quanto si riferisce siti di provincie IT ecco un esempio attuale di links inclusi


mentre questo e' un blog gestito da Regione italiana che presenta sia links inclusi nella pagina blog

ma anche in altre pagine del sito

Ed ecco il source

Links che questa volta puntano a vendita software online a prezzi scontati di 10 o 20 volte o piu' del 'software originale”.

Si tratta di siti, molto proposti anche da mails di spam, che vendono software conosciuto (Windows 7, software Adobe ecc...) ma evidentemente di provenienza piu' che dubbia.

Edgar