lunedì 31 maggio 2010

Altro phishing Banca Mediolanum altamente ingannevole

Filoutage mi segnala un phishing Mediolanum che si distingue sia per l'indirizzo web di phishing altamente ingannevole ma anche per i contenuti stessi del sito che cerca di acquisire i codici personali con lo stratagemma di una ricarica gratuita da 50 euro del nostro cellulare.

Vediamo i dettagli:

Il sito e' ospitato su servizio USA di hosting web come vediamo sia dal whois che dalla pagina home del sito che ospita il phishing

La registrazione del dominio e' in data di ieri


e nel dettaglio propone nomi italiani


La struttura del sito e' molto curata.

Questa la homepage di phishing

dove una volta inseriti l user name ed il codice di accesso attraverso il tastierino numerico virtuale , viene proposta questa pagina che invita ad introdurre il numero telefonico per attivare la ricarica da 50 EURO presentando anche l'user name introdotto nel login per aumentare la credibilita' del sito


il successivo passaggio richiede, per confermare la ricarica, il secondo codice numerico segreto di accesso

una volta inserito il quale si passa alla schermata di conferma dell'operazione dove cliccando sulla scelta 'fine sessione' si viene rediretti sul reale sito della banca.


Come si vede una accurata sequenza di pagine, su URL ingannevole, per cercare di trarre in inganno il maggior numero possibile di utenti Mediolanum, e che questa volta acquisisce anche il numero di cellulare di chi cadesse nel phishing che, al limite, potrebbe anche essere anche utilizzato a supporto di ulteriori tentativi di phishing.

Edgar

Aggiornamento phishing CARIGE (31 maggio)

Ecco uno screenshot di una mail di phishing ai danni di CARIGE ricevuta oggi, ma sempre relativa ad azione di phishing ampiamente descritta ieri in questo post

Edgar

Uso di sottodomini creati appositamente per SEO poisoning

Una ricerca in rete porta ad individuare attualmente siti legittimi, anche IT, che presentano uno o piu' sottodomini dai nomi particolari ed identici per diversi siti.

Questo ad esempio un sito IT


che presenta sia un sottodominio csc. ma anche gps. e di cui vediamo in dettaglio i contenuti

Si tratta di decine di folders che a loro volta ospitano un codice htm che redirige su falso scanner AV (attraverso il riconoscimento degli IP di provenienza del visitatore) proponendo alternativamente o questa pagina dai due frame (di cui uno la home di Google)

o questo falso motore di ricerca

Ecco un dettaglio del falso scanner AV online

con la relativa analisi VT

Una attuale ricerca in rete conferma circa 160 pagine presenti ad esempio sul medesimo sottodominio csc.sitolegittimo.org

Questa una parziale ricerca in rete che presenta invece alcuni dei differenti nomi di sottodominio tutti abbastanza particolari, creati utilizzando siti legittimi allo scopo di mettere online pagine con links a fake AV.

Tra l'altro la presenza di questo nuovo genere di attacchi viene evidenziata su questo recente post di http://blog.unmaskparasites.com/2010/05/22/malware-on-hijacked-subdomains-new-trend/ dove si descrivono decine di sottodomini creati attraverso “ hijacked subdomains of legitimate websites”, cosa che potrebbe confermare una nuova tendenza nella distribuzione di links a malware o malware..

L'accesso ai settings dei dns avrebbe permesso la creazione di sottodomini da utilizzare per scopi malevoli.

C'e' anche da dire che i siti IT visti ora sono su IP USA di hosters spesso coinvolti in hacking di massa, distribuzione malware ecc....

Edgar

Phishing multiplo ai danni di Banche e PosteIT (31 maggio)

Anche se nell'ultima settimana, almeno nelle mie mailbox di riferimento, si nota un drastico calo di mail di phishing, vi sono alcuni siti creati di recente che propongono non uno ma diversi phishing ai danni di banche IT o PosteIT.

E' il caso di questo sito hostato su

che rileviamo creato in data recente

e con questa struttura

Si tratta di diversi siti di phishing ai danni sia di E-bay in lingua inglese

ma anche di Poste IT (2 siti)

e Gruppo CARIGE


Una volta effettuato il login fasullo (phishing) si viene rediretti su sito che, nonostante presenti i dati aggiornati Carige, e' sempre quello hostato sul sito di phishing in quanto viene fatto uso di frames in parte legittimi relativi al reale sito CARIGE

Esiste inoltre, anche se parrebbe non utilizzata, una pagina che presenta login multipli a banche del Gruppo

E' comunque forse presente un riconoscimento dell'IP sul codice in quanto cliccando sui loghi delle banche del gruppo, dopo la prima volta, si viene rediretti sul reale sito di Banca Intesa San Paolo

Come curiosita', c'e' da notare che Avira Personal riconosce, ed e' l'unico, la homepage di phishing ai danni di PosteIT come possibile codice di spoofing

cosa confermata da questa analisi VT

Edgar

venerdì 28 maggio 2010

Phishing BPER (Banca Popolare dell'Emilia Romagna) (28 maggio)

Ricevuta mail di phishing ai danni della Banca popolare dell'Emilia Romagna (BPER)

Si tratta di una mail che include anche una immagine .gif con il logo della banca.

Esaminando il source della mail abbiamo una sorpresa

Il file immagine rivela infatti l'esistenza di un altra azione di phishing ai danni di BPER in quanto il logo e' caricato da altro sito di phishing sempre ai danni della Banca Popolare dell'Emilia Romagna

Questo il sito con whois Korea

Il link al phishing presente in mail punta invece a sito in fase di allestimento ma che comunque e' registrato da tempo e che quindi, piu' che di nuovo sito creato per il phishing, potrebbe essere solamente un 'normale' sito compromesso ospitato su IP USA (anche se su dominio CN)

Questa la struttura del sito di phishing dove notiamo data recente per la creazione del folder che contiene la pagina di falso login BPER

Sono presenti anche i files immagine relativi al layout del tastierino numerico virtuale utilizzato nel reale sito BPER per il login

ma non nel phishing dove abbiamo un semplice form che accetta userID e password

Dopo il login si viene rediretti sul reale sito della banca.

Edgar

Adware e spyware linkati da forum IT

Oltre ai consueti malware linkati da post inseriti appositamente su forum male o per niente amministrati, esiste anche la possibilita' che post fasulli propongano link a software che contiene adware o spyware.

E' il caso di questo attuale post su forum IT

che con la consueta presentazione di falso player video con filmati porno punta a questa pagina, su serve USA che propone

Tra l'altro l'eseguibile e' hostato su sito con whois USA

con layout accurato e info al riguardo della NON presenza di spyware...


L'eseguibile esaminato con VT mostra la sua natura di adware (per alcuni av viene analizzato anche come software trojan) anche se non sono molti gli AV che lo individuano


A riprova della bassa affidabilita' dell'eseguibile, la home del sito che propone il falso file player, presenta questo layout

Si tratta di una pubblicita' con link a un player video hostato su server noto per proporre siti dubbi


Il sito linkato presenta pagine molto curate nel layout ed e' riconducibile alla distribuzione di una numerosa serie di softwares, online ormai da tempo, che contengono tutti, ad una analisi VT, adware o spyware

Questa l'analisi di live-player.exe

Sempre sul medesimo IP del sito live-player abbiamo una nutrita serie siti dai contenuti dubbi come conferma anche una analisi di Site Advisor McAfee

Il consiglio e' quindi sempre quello di porre molta attenzione quando tramite links presenti su siti non noti, o links raggiunti attraverso forum, ecc.. ci viene proposto un download di file eseguibile che potrebbe essere , come in questi casi, un programma adware o spyware, che tra l'altro, una volta installato potrebbe non essere facilmente rimosso dal pc.

Si noti anche come la cura nel layout del sito da dove scaricare il player video sia tale che chi lo visitasse potrebbe ritenere di trovarsi di fronte a pagine che propongono un software affidabile e sicuro.

Edgar

giovedì 27 maggio 2010

Pharmacy (agg. 26-27 maggio)

Un breve aggiornamento su alcuni siti di P.A. con links a pharmacy scelti tra le decine attualmente online.

La particolarita' di questi siti e' che appartengono a comune capoluogo di provincia od a sito di provincia IT e quindi sono riferibili ad Amministrazione Pubblica di una certa importanza.

Ecco alcuni dettagli

Questa una pagina di sito di comune e capoluogo di provincia toscano

il cui source rivela centinaia di links a siti che distribuiscono pharmacy (tra cui alcuni links che puntano a siti 'da queste parti' .TH compromessi a loro volta)

Questa invece e' come appare la pagina di un sito di provincia italiana che esaminando le date delle offerte di lavoro elencate, parrebbe aggiornata da poche ore.

Attivando un user agent che simuli un bot di motore di ricerca abbiamo questa particolare modifica del layout con la comparsa in chiaro di decine di links a pharmacy

Si tratta probabilmente di un effetto , 'collaterale' non voluto da chi ha compromesso il sito, in quanto, solitamente i links presenti nella pagina sono raggiungibili dal motore di ricerca quando esegue una indicizzazione dei contenuti, ma risultano nascosti senza modificarne il layout per garantire una loro piu' lunga permanenza sul sito compromesso.

Questo invece come appare il source di un settimanale web online relativo a comuni del territorio sud-occidentale della Lombardia

con decine di links a siti con redirect su pharmacy.

Edgar

mercoledì 26 maggio 2010

Siti di P.A. Compromessi (agg.26 maggio)

Sono numerosi i siti di Comuni toscani in provincia di Arezzo ed hostati su

che vedono attualmente inclusa al loro interno questa pagina di hacking

Ecco il report relativamente ai siti colpiti

Edgar

Siti IT compromessi (25 maggio)

Ecco un sito comunale del Nord Italia hostato su

che presenta questa mattina (ora thai) la homepage, con alcune scritte inserite a modifica del layout

ma anche una pagina inclusa

Sempre sul medesimo IP risulta presente anche questo sito con la home sostituita da

ed anche questo codice html incluso

Questo il relativo report

Edgar