Interessante URL di phishing presente sul DB Segnalazioni di Antiphishing Italia
Prima di iniziare la dettagliata analisi vorrei evidenziare la presenza sullo stesso DB Segnalazioni di A.P. Italia di un elevato numero di records, inseriti recentemente , che hanno tutta l'aria di essere solo spam di links, in quanto non si tratta di collegamenti a phishing ma piuttosto di links a siti che tra l'altro, in molti casi puntano a malware.
Solo per fare un esempio ecco i contenuti di uno degli ultimi records in tabela
che propone links a redir su
con relativo malware (non si tratta del solito fake AV) e, tra l'altro, anche poco visto da VT.
Prestate quindi attenzione se aprite i links presenti sul DB come quelli riferiti a messaggi in inglese e non relativi a mail di phishing.
Ecco invece l'analisi del link a sito di phishing Poste IT che evidenzia un massiccio uso di redirects attraverso servizi di shortening URL nonche' l'utilizzo di siti appositamente creati sia per supportare il redirect che per ospitare il phishing.
Questa una analisi della connessione al sito clone PosteIT che dimostra i numerosi re-indirizzamenti utilizzati, cosa che contrasta con la presenza al massimo di due redirect che troviamo in molte mails di phishing
Il primo step del phisher e' consistito nell'utilizzare il servizio offerto da SNIPR, per attivare una short URL (ma piu' di una come vedremo) che punta a sito USA creato appositamente allo scopo
Il sito USA su cui si e' portati dal link snipr presenta data di creazione abbastanza recente e registrazione con nome italiano anche se poi abbiamo come country indicato Israele.
A parte il fatto che il nominativo presente puo' essere tutto o in parte di fantasia e' perlomeno singolare come 'indicazione della nazionalita' di chi ha registrato il sito (Israele) corrisponda al primo IP presente sul log
che un whois vede come.
Un esame dei log dimostra inoltre che sono presenti , sul sito, piu' di un codice di redirect
che analizzati danno i seguenti risultati
Abbiamo, in entrambi i casi, un reindirizzamento ad altro servizio di short URLS (TinyURL ) che a sua volta punta al sito finale di phishing che sfrutta , ancora una volta, l'ennesimo servizio online per creare nomi ingannevoli di indirizzi web, che mascherano in realta' l'ulteriore sito creato per ospitare il phishing.
Attraverso il servizio free di Mediadots,
sono stati creati alcuni siti con estensione IT.MN tra cui quelli usati in questo phishing (mpostepay... e npostepay....)
In effetti ricercando su Mediadots troviamo anche altri nomi di siti forse gia' usati od utilizzabili in seguito come ad esempio
e non solo PosteIT
A questo punto nella pagina Mediadots cosi' costruita e' stato inserito un Iframe con link a sito USA di phishing.
Ecco come apparirebbe la pagina se l'iframe non occultasse l'originale pagina di Mediadots (ho modificatoo il codice html per poter rendere visibile i due contenuti: originale Mediadots e iframe che punta a contenuti su sito USA)
Appare evidente che chi , dopo la lunga sequenza di redirect, visualizzera' il sito finale di phishing sul browser vedra' l'url ingannevole Mediadots nella barra degli indirizzi ma solo l'iframe con la pagina di phishing sul sito USA come contenuto del sito.
Come visto prima, due erano i links a codice di redirect sul primo sito USA, e due sono le pagine finali Mediadots che contengono due differenti percorsi di phishing ma sempre sul medesimo dominio
e
Anche in questo caso il dominio risulta essere registrato recentemente ed a nome di persona italiana .
Edgar
Prima di iniziare la dettagliata analisi vorrei evidenziare la presenza sullo stesso DB Segnalazioni di A.P. Italia di un elevato numero di records, inseriti recentemente , che hanno tutta l'aria di essere solo spam di links, in quanto non si tratta di collegamenti a phishing ma piuttosto di links a siti che tra l'altro, in molti casi puntano a malware.
Il fatto ricorda molto da vicino una delle pratiche utilizzate da chi vuole distribuire in rete links a siti dubbi o malware attraverso l'upload di decine di collegamenti creati allo scopo , all'interno di guestbooks, forum, commenti online ecc. appartenenti a siti legittimi.
Solo per fare un esempio ecco i contenuti di uno degli ultimi records in tabela
che propone links a redir su
con relativo malware (non si tratta del solito fake AV) e, tra l'altro, anche poco visto da VT.
Prestate quindi attenzione se aprite i links presenti sul DB come quelli riferiti a messaggi in inglese e non relativi a mail di phishing.Ecco invece l'analisi del link a sito di phishing Poste IT che evidenzia un massiccio uso di redirects attraverso servizi di shortening URL nonche' l'utilizzo di siti appositamente creati sia per supportare il redirect che per ospitare il phishing.
Questa una analisi della connessione al sito clone PosteIT che dimostra i numerosi re-indirizzamenti utilizzati, cosa che contrasta con la presenza al massimo di due redirect che troviamo in molte mails di phishing
Il primo step del phisher e' consistito nell'utilizzare il servizio offerto da SNIPR, per attivare una short URL (ma piu' di una come vedremo) che punta a sito USA creato appositamente allo scopo
Il sito USA su cui si e' portati dal link snipr presenta data di creazione abbastanza recente e registrazione con nome italiano anche se poi abbiamo come country indicato Israele.
A parte il fatto che il nominativo presente puo' essere tutto o in parte di fantasia e' perlomeno singolare come 'indicazione della nazionalita' di chi ha registrato il sito (Israele) corrisponda al primo IP presente sul log
che un whois vede come.
Un esame dei log dimostra inoltre che sono presenti , sul sito, piu' di un codice di redirect
che analizzati danno i seguenti risultati
Abbiamo, in entrambi i casi, un reindirizzamento ad altro servizio di short URLS (TinyURL ) che a sua volta punta al sito finale di phishing che sfrutta , ancora una volta, l'ennesimo servizio online per creare nomi ingannevoli di indirizzi web, che mascherano in realta' l'ulteriore sito creato per ospitare il phishing.Attraverso il servizio free di Mediadots,
sono stati creati alcuni siti con estensione IT.MN tra cui quelli usati in questo phishing (mpostepay... e npostepay....)In effetti ricercando su Mediadots troviamo anche altri nomi di siti forse gia' usati od utilizzabili in seguito come ad esempio
e non solo PosteIT
A questo punto nella pagina Mediadots cosi' costruita e' stato inserito un Iframe con link a sito USA di phishing.
Ecco come apparirebbe la pagina se l'iframe non occultasse l'originale pagina di Mediadots (ho modificatoo il codice html per poter rendere visibile i due contenuti: originale Mediadots e iframe che punta a contenuti su sito USA)
Appare evidente che chi , dopo la lunga sequenza di redirect, visualizzera' il sito finale di phishing sul browser vedra' l'url ingannevole Mediadots nella barra degli indirizzi ma solo l'iframe con la pagina di phishing sul sito USA come contenuto del sito.
Come visto prima, due erano i links a codice di redirect sul primo sito USA, e due sono le pagine finali Mediadots che contengono due differenti percorsi di phishing ma sempre sul medesimo dominio
e
Anche in questo caso il dominio risulta essere registrato recentemente ed a nome di persona italiana .
Edgar
4 commenti:
Se questi siti li apro da ubuntu linux 10.04 rischio qualcosa o sto al sicuro ?
Quello visto nel post, come gli altri che sembrano presenti nei links sono eseguibili DOS .Comunque anche con windows l'importante e' non non scaricare ed eseguire i falsi filmati proposti, visto che non mi pare ci siano anche exploits sulle pagine linkate.
Dai Edgar, ammettiamo però che sono dinamici!!
A che ora hai fatto la tua analisi?
Alle 12:00 (GMT +2 - ora italiana quindi) il link presente nel db di Anti-Phishing Italia sotto forma di short url snipr.com punta ad un file di redirect php ospitato su un dominio in hosting su Yahoo intestato ad un connazionale.
Il file di redirect presenta un altro short url, questa volta tinyurl.com, che porta alla reale destinazione finale http://m.poste.postepay.bpol.it.mn/?login-home.fcc?TYPE=33554433&REALMOID=06-b5208d98-1e41-108b-b247-8392a717ff3e&GUID=&SMAUTHREA.
come abbiamo ormai visto è presente un iframe il cui file sorgente è su dominio in hosting su Yahoo (di nuovo) intestato ad un connazionale (di nuovo :-( ).
i logs indicano che alla data ora in cui sono stati creati i file qualcuno si collegava da un ip (172.173.3.103) statunitense per verificare il tutto.
non si può dire non siano attivi!!
tra l'altro sul sito che ospita il redirect php, visualizzando i log si vedono gli IP di Poste Italiane che effettuano le verifiche del caso
Mi pare invece che il DB segnalazioni di AntiPhishing Italia stia andando sempre peggio.Ogni circa 10 minuti si aggiunge un record di spam con i 'soliti' contenuti e links gia' visti in passato anche su guest book, siti compromessi ecc. Probabilmente e' entrato a far parte di qualche lista di link spamming .. e ora in automatico viene 'aggiornato... ad intervalli regolari. con links a siti porno e malware.
Edgar
Posta un commento