sabato 2 ottobre 2010

Why not check about your self - Falsa mail per furto di credenziali di accesso MSN Messenger ed anche probabile distribuzione malware (2 ottobre)

AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso! Si tratta di links a siti di dubbia affidabilita' che potrebbero, al limite, proporre anche eseguibili pericolosi.

Premessa:


Negli ultimi tempi ho ricevuto alcune mails apparentemente provenienti da un mio contatto USA presente in MSN messenger

Si tratta di mails senza oggetto e con un messaggio che porta link a sito di pharmacy.
E' molto probabile che sia un account hotmail di cui sia stato acquisita in maniera fraudolenta la password di login, fenomeno gia' segnalato in rete altre volte.

Passando alla mail odierna vedremo come e' possibile che si tratti proprio di uno dei metodi utilizzati per acquisire gli account MSN ma non solo, visto che chi gestisce questo genere di operazione, tenta anche di far scaricare un file identificato da alcuni Av come pericoloso.

Ecco la mai

che dal testo presente vorrebbe far credere che, chi la invia, abbia trovato un sito online che permette di spiare i contatti sul Messenger Microsoft rivelandoci cosa pensano di noi i nostri amici.

Chiaramente ci troviamo di fronte a messaggio di posta elettronica creato appositamente per suscitare curiosita' e che potrebbe portare a cadere nel tranello del fake sito.

A questo punto, per testare tutto il funzionamento del sistema fraudolento che andremo ad analizzare sono stati creati alcuni account di comodo Hotmail e precisamente:

Un account che chiameremo A e che passeremo alla fake sito di verifica MSN

Un account che chiameremo B e che inseriremo nella nella lista degli amici sul Messenger di A.

In questo modo se il sito fake andra' ad acquisire i contatti del messenger di A potremmo forse avere qualche riscontro, cosa che poi si rivelera' esatta.

Iniziamo quindi seguendo il link in mail ed eccoci sul sito

Possiamo notare come ( a parte la scritta sito sicuro al 100%) venga evidenziato come avremo la possibilita' di spiare i nostri contatti MSN e leggere quello che 'pensano di noi”

Passiamo la prima volta un account totalmente inesistente (ne A ne B ma un indirizzo mail e password di fantasia)

e di seguito

Ecco il risultato che vuole dire che al momento del sign-in parrebbe essere eseguita una verifica di quanto digitato andando a tentare un accesso al nostro account MSN. In altre parole l'unico modo di verificare account e password e' quello di loggarsi su MSN al posto nostro.

Visto questo, proviamo a passare il nostro reale account A creato in hotmail, ed ecco, come volevasi dimostrare, la conferma che username e password sono accettati come corretti !!!

Ma c'e' di piu' :

Se infatti passiamo il nostro account A senza che in esso ci siano riferimenti ad altri account (altri contatti MSN) ecco cosa ci viene proposto

“congratulazioni gli ultimi due mesi (cosa impossibile visto che l'account A e' stato creato oggi) nessuno ha bloccato il vostro messenger”

Visto questo proviamo ad inserire all'interno della lista contatti dell'account A il riferimento all''account B creato anch'esso oggi

Riproviamo un accesso al sito fake di analisi ed ecco la conferma di quanto ipotizzato

Adesso parrebbe che uno dei contatti di A e precisamente proprio quello B inserito in lista amici di MSN abbia bloccato il 21 agosto il messenger di A, cosa impossibile visto che come sappiamo entrambi gli account sono stati creati oggi .

Questo vuole dire che il fake sito MSN, per poter sapere che esiste un contatto B tra gli amici di A, deve per forza loggarsi su A e per di piu' acquisire la lista contatti presente. In caso contrario non potrebbe sapere che B fa parte dei contatti di A.

Ripetendo piu' volte il check dell'account MSN sul fake sito abbiamo differenti date nelle quali B avrebbe bloccato l'acconut MSN di A

Ma la cosa non finisce qui:

Come vedete e' presente un grande pulsante 'CLICK here to continue” che ci porta su questa pagina di una fantomatica galleria fotografica .

In realta' cliccando sia sul disegno che sulle scritte presenti abbiamo il download dell'eseguibile party_gallery.exe (che analizzeremo in seguito) visto attualmente da pochissimi software AV in VT come trojan o fake AV.

Questo quanto ci propone Threat Expert al riguardo del file EXE scaricato


Vediamo invece alcuni dettagli sulla provenienza del fake sito linkato dalla mail.

Un whois vede il sito ospitato su

non da solo, ma in compagnia di altri siti che almeno in parte, ripropongono il medesimo layout.

Nel report vediamo anche due nomi di siti con nome simile ma su whois cinese e che al momento parrebbero offline

Riferimento cinese che ritroviamo anche analizzando il dettaglio del whois di uno dei siti attivi dove il registrant e' appunto

Appare quindi evidente come ci troviamo di fronte ad una azione volta ad acquisire credenziali di accesso MSN ma anche di distribuire un file probabile fake Av.

In ogni caso un sistema molto efficace che sfrutta la curiosita' di chi riceve questa particolare mail e che comunque vista la lingua utilizzata nel messaggio, sembrerebbe piu' orientato ad utenti USA o di paesi di lingua inglese piuttosto che ad una utenza italiana MSN.

Nei prossimi gironi continuera' il monitoraggio de 2 accounts (A e B) per vedere quali eventuali utilizzi verranno fatti dei dati acquisiti in maniera fraudolenta tra cui le credenziali di login MSN di A (username e password) e la lista dei contatti MSN di A (cioe' ad esempio l'indirizzo mail di B che e' presente nella lista contatti di A)

Tra le varie 'possibilita' di utilizzo dei dati sottratti' abbiamo la creazione di false mail di spam spedite ai contatti di A ma anche, visto che si dispone della password, la possibilita' di modificare dati dell'account di A rendendone impossibile l'accesso, oppure la lettura della sua posta e probabilmente venire in possesso di eventuali altri dati magari ancora piu' pericolosi dal punto di vista della sicurezza (codici di conto, dati personali riservati ecc. che A potrebbe inviare utilizzando messaggi di posta elettronica),

Edgar

(continua)

Nessun commento: