giovedì 30 settembre 2010

Ancora phishing con allegato eseguibile ( 30 settembre)

L'amico Denis Frati mi invia una mail di phishing che ha ricevuto oggi e che , differentemente dal solito , contiene un allegato sotto forma di file eseguibile.

Avevamo gia' visto recentemente un caso simile che colpiva utenti CartaSi
Questa la mail che tenta di farsi passare come inviata da Cedacri (azienda italiana di servizi informatici per il mondo bancario)

e che presenta un allegato eseguibile denominato hbnet.cedacri.it.exe.(diverso comunque come nome e dimensioni rispetto a quello visto in passato su mail CartaSi)

Una prima analisi VT dell'eseguibile mostra questi risultati classificando il file come generico trojan VB.


A questo punto eseguendo una analisi anche se non approfondita, sul codice dell'eseguibile si scopre la presenza di una stringa di testo corrispondente ad una url

che passata al browser mostra

Il dubbio e' che il file eseguibile sia praticamente un codice che una volta lanciato mostri un form collegato al phishing (sempre non escludendo la presenza di un eventuale codice che svolga altre funzioni di reale virus trojan).

Una analisi Threat Expert conferma la presenza della creazione di una finestra di messaggio contenente pero' una pagina web non relativa al form e comunque evidenzia la presenza di un collegamento a sito uguale a quello rilevato nell'eseguibile.

Per avere qualche ulteriore dettaglio proviamo ad eseguire il file in VirtualBox monitorando anche la connessione di rete onde visualizzare eventuali comunicazioni tra software trojan in esecuzione ed Internet.

Ecco cosa appare eseguendo hbnet.cedacri.it.exe

Si tratta di una finestra a video denominata hbnet.cedacri.it che mostra il form visto prima nel browser

Compilando i vari campi presenti e monitorando la connessione si puo' notare come solo al momento dell'invio dei dati sia stabilito un collegamento al sito compromesso hostato su server USA che contiene il codice php che si occupa dell'invio dei dati catturati al phisher

Appare quindi evidente che l'allegato in mail svolga la medesima funzione di un allegato html normalmente usato in precedenti casi di phishing.

Anche se non e' da escludere l'eventuale possibilita' di una azione con caratteristiche di programma trojan, basandosi su quanto rilevato dalla connessione monitorata al momento del lancio del .exe, parrebbero non esserci evidenze di invio o download di altri files eseguibili sul pc tranne che il caricamento del form e l'invio delle credenziali digitate nello stesso.

Una volta eseguito l'invio dei dati catturati il codice php presente sul sito compromesso carica sul browser il reale sito Cedacri IT.

Edgar

Ancora ricarica telefonica con bonus per questo sito di phishing altamente ingannevole ai danni di Wind (30 settembre)

Il fenomeno phishing risulta sempre molto diffuso e sfrutta non solo siti clone di Banche o PosteIt ma estende i sui interessi anche a siti di altre aziende presenti in rete che offrono servizi il cui pagamento avviene attraverso l'utilizzo di carte di credito.

E' il caso di questo falso sito Wind segnalato sul DB di Antiphishing Italia

che viene linkato da mail di phishing e che per i suoi livelli di dettaglio del layout risulta altamente ingannevole.

Se si esclude infatti il problema su alcuni link presenti nelle pagine clone che ritornano questa videata

la sequenza della registrazione per ricevere la ricarica omaggio da 50 EURO procede con una serie di pagine perfettamente clonate che, tra l'altro, parerebbero effettuare (contrariamente a come succede di solito in login di phishing) diversi controlli di validita' sui dati inseriti o eventualmente verifiche su dati dimenticati nel login e ritenuti obbligatori.

Un'altra caratteristica da non sottovalutare e' , come vedremo, il grande numero di informazioni acquisite da questo phishing e precisamente: (dettaglio riassuntivo dei vari forms di input nella sequenza delle pagine di phishing Wind)

Anche se non si puo' stabilire con certezza se poi effettivamente tutti i dati catturati nei vari forms saranno realmente acquisiti e passati al phisher, in ogni caso si tratta non solo del numero di carta di credito ma di una serie di dati che, anche indipendentemente dall'utilizzo del numero di carta di credito, potrebbero essere usati per spam ed altri tentativi fraudolenti ai danni di chi fosse caduto nel phishing.

Il sito che ospita il clone Wind e' stato creato ed ospitato su servizio di hosting USA come vediamo anche dalla pagina di registrazione domini che ne conferma la presenza

mentre la data della registrazione risale ai giorni scorsi

Da notare come il sottodominio utilizzato comprenda nell'url anche la stringa HTTPS per cercare di ingannare maggiormente facendo passare la pagina come caricata attraverso connessione sicura.


Questa la sequenza di phishing che partendo dalla mail (questo il testo )

---------------------------------------------------------------------------------------------
Gentile cliente, il Gruppo Wind in merito all'evoluzione aziendale propone ai suoi clienti un regalo esclusivo, per riservare un merito unilaterale Vi rende partecipe alla promozione regali. Basterà accedere ai nostri servizi per ottenere una ricarica telefonica del valore di 50,00 euro in omaggio, acquistandone una di 10,00 euro, Certi di gradire la nostra offerta , Vi ringraziamo per la Vostra fiducia accordata. questa pagina di login (notare il whois USA)

che a sua volta linka ad una serie di pagine dal layout simile alle originali Wind


e

e


e per finire con questa pagina di richiesta ulteriore codice segreto “verified by VISA”


dopo la quale abbiamo la conferma dell'avvenuta ricarica

e veniamo portati sulla reale pagina WIND Shop


Da notare che la reale pagina Wind Shop sulla quale si e' trasferiti dal phishing alla fine della falsa registrazione 'bonus' di ricarica non utilizza HTTPS e quindi non si notano grandi differenze sulla barra degli indirizzi del browser rispetto al sito di phishing.

Ad aumentare la natura ingannevole della url di phishing presentata dal browser stranamente se dalla pagina del Wind Shop si accede all'opzione password dimenticata il browser continua sempre a mostrare una connessione HTTP e non HTTPS almeno per quanto rilevato durante la mia connessione odierna.

Solo ad esempio, con la reale opzione di ricarica presente in WIND Shop abbiamo la comparsa della connessione sicura e la relativa indicazione sul browser.

Un phishing Wind quindi molto ingannevole e , per i dati acquisiti a chi cadesse nel tranello della falsa mail, anche abbastanza pericoloso vista l'elevata mole di dati personali raccolti durante la registrazione della falsa ricarica telefonica


Edgar

mercoledì 29 settembre 2010

Phishing CartaSi (29 settembre)

Ricevuta mail di phishing ai danni di CartaSi

Si tratta di una mail con allegato html che eseguito propone questo form

e che utilizza, per acquisire i dati personali raccolti con il falso login, un codice php incluso su sito in lingua polacca

ma ospitato su

Una volta effettuata l'acquisizione dei dati il codice php redirige, come succede quasi sempre in questi casi, sul reale sito CartaSi

Interessante notare come le immagini dei loghi presenti nel falso form allegato in mail

vengano linkate da differenti siti, tra cui quello di un provider romeno, fornitore di servizio internet tv.

Edgar

Sito IT che distribuisce malware (29 settembre)

Si tratta di un caso segnalato su Phishtank che non e' possibile catalogare come phishing considerato che l'unica attinenza con questo genere di truffa online e' che la pagina con false previews di filmati porno e' ospitata su sito di italiano di “sexy shop” e quindi potrebbe far pensare a chi la visitasse di essere su un 'reale' sito di distribuzione di filmati di questo genere.

Ecco la pagina

ed ecco la struttura del sito riferita a questi contenuti

Possiamo notare un file in formato zip che e' linkato cliccando su tutte le immagini presenti ed il cui contenuto analizzato con VT

presenta un basso riconoscimento del malware

Edgar

martedì 28 settembre 2010

Multiphishing. 10 links a phishing ai danni di Banche IT del gruppo BPER per una ricarica telefonica (28 settembre)

Sul DB di Antiphishing Italia appare una segnalazione di phishing che riguarda una pagina con ben 10 links a siti clone di banche appartenenti al gruppo BPER (Banca Popolare dell'Emilia Romagna)

Il testo della mail propone, cosa gia' vista in passato, una ricarica telefonica 'bonus'

'…...........Bastera' accedere ai nostri servizi di Home Banking per ottenere una ricarica telefonica del valore di 50,00 euro in omaggio, acquistandone una di 10,00 euro, Certi di gradire la nostra offerta ….............”

Sia la pagina principale con links al phishing ai danni delle dieci banche del gruppo, che le singole pagine di login sono ospitate su servizio di hosting USA dove e' stato creato apposito sito

Il fatto che siano 10 le Banche proposte e' sicuramente voluto dal phisher per ampliare il numero di clienti BPER possibile bersaglio della falsa mail.

Ecco una delle pagine clone

e la corrispondente reale pagina della Bancha del gruppo BPER

Inoltre e' evidente come sia stato molto curato il layout delle pagine di phishing in cui si propone la scelta della compagnia telefonica e del relativo numero sul quale effettuare la ricarica 'bonus' allo scopo di acquisire l'ulteriore password dispositiva personale.


e

Un phishing quindi che si discosta dai consueti siti clone frequenti in rete costruiti con una sola pagina di login ed a volte anche molto datata come layout.

Edgar

Ancora falso Av distribuito da forum di Provincia italiana (28 settembre)

Questo forum

presente su sito gestito da Provincia del Nord Italia

presenta attualmente un aggiornamento continuo di falsi post che redirigono, tra varie alternative, anche su questo fake player

con, ancora una volta, un whois legato a noto hoster dell'est Europa , che sul medesimo IP propone un grande numero di siti simili

Una odierna analisi VT dimostra, come gia' accaduto ad agosto, un riconoscimento molto basso del file eseguibile movie.exe.

Lo stesso file era linkato, il mese scorso,da sito IT e come allora si tratta sempre di questo falso Av , disponibile anche in lingua italiana ( ecco l'esecuzione in Vbox)

Da notare che i links al forum gestito dalla Provincia risultano molto diffusi in rete (questo un esempio)

ed una ricerca Google trova numerosi riferimenti, anche non recenti, al forum visto ora ed ai falsi post.

Edgar

lunedì 27 settembre 2010

Phishing (27 settembre)

Ricevuta mail di phishing CARIFE (Cassa Risparmio di Ferrara)

che tramite redirect su

punta a sito creato appositamente per ospitare il sito clone CARIFE.

La possibilita' di accedere al log che registra gli accessi rivela un buon numero di IP di provenienza italiana, a dimostrazione del probabile buon numero di mails distribuite per questo phishing.

Anche questa volta, come gia' accaduto in passati phishing CARIFE, il source del reale sito della banca e' stato clonato con l'uso di HTTRACK

come dimostra la presenza di questo codice nel sito di phishing.

Sempre utilizzando un sito creato appositamente per hostare phishing, ecco questo attuale CartaSi di cui vediamo la struttura del folder
che ospita la pagina clone dal consueto layout.
Anche in questo caso la possibilita' di accesso ai log dimostra sia la presenza di differenti IP tra cui uno che parrebbe ricondurre al noto produttore di AV Kaspersky

ma anche alcuni di alcuni indirizzi di Universita' Italiane.

Inoltre sempre analizzando il log ed a conferma che spesso lo stesso host ospita diversi phishing al medesimo tempo, si nota la presenza di un ulteriore folder

che contiene un codice di phishing BCC (Credito Cooperativo) anche se abbastanza semplificato, come layout


Edgar