lunedì 31 gennaio 2011

Phishing UNICARD - Unipol (31 gennaio)

Si tratta di phishing attualmente attivo, che tenta di acquisire i dati relativi a Carta prepagata Unicard o UGF (Unipol Gruppo Finanziario).

Questa la pagina di phishing

dove notiamo la richiesta dei dati relativi alla carta di credito e dove risulta essere attiva una marginale verifica dei dati digitati

solo a livello della loro presenza nei campi di input (viene accettato qualunque carattere digitato, ad esempio anche solo lettere per il numero di carta di credito ecc.....)

Questa la struttura del sito di phishing

che mostra date dei files recenti.

Da una verifica del whois il dominio e' creato in data recente ed e' ospitato da hoster identico a quello visto in un elevato numero di precedenti casi di phisihng attuali e non (Valsabbina, Desio, Volterra ecc......)


Una volta acquisiti i dati si viene rediretti sul reale sito Unicard.

Parrebbe quindi che questo phishing, viste anche altre analogie presenti, possa essere associato forse sempre ad identici personaggi che gestiscono le azioni di phishing ai danni di banche a diffusione essenzialmente regionale.

In ogni caso abbiamo un diverso obiettivo dei phishers che non sono piu' i dati di accesso al conto online (login e relativa password ) ma i dati relativi alla carta di credito.

In questo caso si tratterebbe di tentativi che evitano ai phishers di incappare in ulteriori sicurezze che sono sempre piu' diffuse sull'accesso online ai conti bancari (one time password, diversi ed ulteriori codici di autenticazione per operazioni online con movimento di denaro come password dispositiva, ecc.....)

Edgar

Siti IT compromessi (31 gennaio)

Si tratta di forum IT (linkato da due differenti URL) com pagina home che presenta alcune scritte di hacking

e con whois su dominio italiano governativo .gov.it

Da notare che detto forum non sembra essere piu' utilizzato da molto tempo, in quanto la data presente nella pagina risale al febbraio 2004.

Edgar

venerdì 28 gennaio 2011

Phishing Banca Valsabbina (28 gennaio)

In queste ultime ore e' attivo online un nuovo phishing Banca Valsabbina, che vede il codice di redirect ospitato, caso abbastanza particolare, su sito di azienda che pubblicizza un proprio software per la creazione e gestione di siti Web.

Anche in questo attuale phishing e' presente un redirect su Asset Manager di Innova Studio o comunque una interfaccia identica di file manager a quelle viste in passato

C'e' anche la possibilita' che l'interfaccia del file manager faccia parte del software di sviluppo sdi iti Web pubblicizzato ma non ho fatto ricerche in tal senso.

In ogni caso, tramite l'interfaccia del file manager, accessibile da remoto senza restrizioni, e' quasi certo che sia stato incluso il file di redirect al phishing Valsabbina, cosi come una smart-shell asp attiva e di cui vediamo un dettaglio dell'interfaccia.

Il redirect punta a sito di phishing con la stessa struttura descritta in precedenza su questo post il 26 gennaio, (notare la data odierna dei files)

Il sito clone e' ospitato dal consueto hoster USA su dominio creato appositamente in data di oggi

Come c'era da aspettarsi sembra che i phishers, rispettando la consuetudine di attacchi ciclcici contro il medesimo soggetto, abbiano ripreso a colpire una delle banche che in passato erano gia' state prese di mira (vedi i numerosi posts sul blog relativi a casi di phishing Valsabbina, pubblicati a partire da meta' novembre 2010)

Edgar

Distribuzione malware attraverso links su forums IT (Aggiornamenti 28 gennaio)

AVVISO ! Anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di links ad eseguibili malware poco riconosciuti dai softwares AV.

Negli ultimi giorni si nota una intensa attivita' di posting 'fake' su forum IT, posts costituiti da immagini e relativi links:

Questo un dettaglio delle imagini allegate ai posts, che sono linkate a partire da url comune a diversi post, anche su differenti forum.

mentre questi alcuni dei forum con i posts fake

Il link finale, dopo alcuni redirects, punta a sito di falsi filmati porno (dal layout ormai ben noto)

che propone un eseguibile malware poco visto da una scansione Virus Total

e che questa volta potrebbe non essere l'ennesimo fake Av ma qualcosa di piu' pericoloso, vedendo l'attuale report VT.

Il numero dei post pubblicati e' come sempre notevole, se si vede ad esempio l'intervallo di tempo con cui vengono inviati i nuovi messaggi fake

Inoltre da una ricerca in rete la percentuale di forum che ospitano questa nuova distribuzione e' molto alta, basti pensare che su 8 risultati di una ricerca ben sei erano a forum con i medesimi links al sito finale che distribuisce l'eseguibile fatto passare come indispensabile per la visione dei filmati .

Da notare come nei posts esaminati oltre alle immagini cliccabili ci siano anche parecchi links testuali che puntano a differenti siti creati allo scopo di diffondere i collegamenti a malware attraverso pagine come questa, dal nuovo layout

e dai molti links presenti

In ogni caso il risultato finale e' sempre il medesimo e cioe' il redirect sul sito di falsi filmati mentre c'e' da notare che viene posta molta cura nel tentare di rendere poco riconoscibile il contenuto malevolo visto che scaricando il file eseguibile a brevi intervalli di tempo i codici MD5 cambiano sempre, dimostrando la modifica del codice malware.

Edgar

Phishing Banco di Desio e HSBC (28 gennaio)

Un aggiornato redirect

su sito con whois

gia' utilizzato qualche giorno fa, mostra un nuovo ed attivo phishing ai danni di Banco di Desio

Il layout e' riferibile ad una struttura di sito clone piu' complessa rispetto ad altri casi Banco di Desio visti in passato, anche se, ad esempio, questa volta non viene verificato che i campi di input nella maschera di richiesta PIN codes, siano valorizzati e non vuoti.

Come succede spesso in questi casi, il sito compromesso con whois USA, oltre ad avere incluso il clone di phishing Banco di Desio ospita anche un KIT ai danni della banca inglese HSBC

e relativi subfolders contenenti il phishing HSBC.


Esaminando la struttura del KIT si notano date aggiornate ad ieri, per quei codici php che si occupano anche dell'invio la phisher delle credenziali sottratte.

Come curiosita' notiamo che il nome del campo data di nascita presente nel codice di invio delle credenziali eventualmente sottratte

e' in lingua romena,

ma questo non sorprende, visti i numerosi riscontri (ranges IP) che anche in altri casi di phishing recenti, puntano alla Romania.

Edgar

giovedì 27 gennaio 2011

Phishing CartaSi (27 gennaio)

A dimostrazione della varieta' di 'posti' dove includere siti clone di phishing eccone uno attivo ai danni di CartaSi che questa volta e' ospitato su IP appartenente a range .gov (governativo) australiano.

Questa la home di phishing

con layout non recente, mentre questa parte della struttura del sito

dove notiamo la presenza del KIT di phishing che mostra i consueti contenuti, anche se con date dei files non recenti, cosi come il layout della pagina di phishing.

Tra i vari files sono anche presenti i codici php che effettuano l'invio al phisher delle credenziali eventualmente sottratte.

Edgar

mercoledì 26 gennaio 2011

Ritorna anche il phishing Banca Agricola Popolare di Ragusa. (26 gennaio)

L'ultimo phishing segnalato su questo blog ai danni di BAPR ( Banca Agricola Popolare di Ragusa) risale a quasi un anno fa (mese di febbraio 2010) ma una intensa attivita' di phishing era stata rilevata nella seconda meta' del 2009.

Ecco arrivare oggi una mail che ripropone un attacco a BAPR

Il testo della mail e' generico senza che vengano forniti dettagli sul nome della banca ma si scrive solo di un sito di "Home Banking".

Nel messaggio e' presente un link diretto a clone di pagina di login ospitata su sito compromesso colombiano di e-commerce ma con whois USA.

Da notare come nella pagina di login sia presente un campo di input denominato “Password Dispositiva” che non esiste sul reale login BAPR

Sulla reale pagina di accesso (questo uno screenshot)

viene proprio spiegato come la banca non richieda al momento del login, il codice dispositivo, ma lo stesso venga utilizzato solo per attivare operazioni bancarie con trasferimento di denaro (es. bonifici.....)

E' interessante notare come nella url di phishing compaia la stringa /cse/ come riferimento proprio al servizio di outsourcing bancario 'CSE Banking' a cui si appoggia BAPR.

Terminato il login fasullo si viene rediretti su pagina demo gestita appunto da CSE.


Edgar

Ritorno al passato. Phishing Valsabbina (26 gennaio)

Sembra che la pratica del riutilizzo di vecchi siti per effettuare redirect a phishing sia nuovamente attiva.

E' il caso attuale di phishing che appare servirsi attualmente di file manager attivo ad esempio a settembre 2010 per supportare phishing Carife (Cassa Risparmio Ferrara) ed a dicembre 2010 per phisihng C.R. di Volterra.

Questo il file manager 'riciclato' che mostra attuale e passati codici di redirect ma anche la presenza della molto diffusa SmartShell.asp

Il redirect attivo in data attuale, punta a dominio creato il

sempre su servizio di hosting USA

La struttura del sito mostra i codici di phishing Banca Valsabbina

ma parrebbe che lo stesso dominio (da quanto segnalato sia da Denis Frati che da altri in rete) sia stato utilizzato come hosting di un tentativo di phishing ai danni di CR Cesena

Da notare come il phishing attivo presenti una pagina di accesso

sia un login fake Valsabbina Home Banking (con successiva richiesta PIN codes)

ma anche un login fake Valsabbina Corporate

senza seguente richiesta pin codes ma di una 'password di autorizzazione'

In entrambi i casi si viene poi rediretti alla pagina del reale sito Valsabbina dedicata alla descrizione dei prodotti e servizi della banca.

Vedremo adesso se i phishers si dedicheranno a colpire nuovamente banca Valsabbina con la stessa insistenza dedicatagli in passato che ha visto a partire da novembre 2010 una nutrita serie di tentativi proseguiti anche in dicembre 2010 (vedi precedenti post sul blog)

Edgar

martedì 25 gennaio 2011

Deep Analysis phishing site Banco di Desio - Bank of America. (25 gennaio)

Quando ci si confronta con siti compromessi, specialmente per casi di phishing, risulta utile cercare di approfondire l'analisi del clone di phishing onde trovare quei riferimenti che permettono poi di risalire , almeno in parte, alla fonte dell'attacco.

E' il caso del precedente post che evidenzia come sia stato utilizzato un sito di blog per ospitare il phishing ai danni di Banco di Desio e Bank of America, sito blog che analizzato in prondita' rivela alcuni particolari interessanti.

Ecco quanto trovato su un folder apparentemente non legato al phishing ma piuttosto relativo ai contenuti del blog

Salta subito agli occhi la presenza di un completo ed ulteriore sito di phishing B. di Desio, ma anche del KIT di phishing relativo.

E' probabile che si tratti, per cosi' dire, del folder di lavoro del phisher dove e' stato testato il sito clone prima della sua 'messa on-line'.

Questi alcuni dettagli:

e


Dal KIT

possiamo estrarre diverse INFO utili quali ad esempio le date dei files utilizzati, la path di lavoro del sito clone, ma, piu' importante, gli indirizzi mails di riferimento per l'invio ai phishers delle credenziali di accesso al conto online, sottratte a chi cadesse nel tranello del falso sito.

Ecco i sources dei codici php che effettuano l'invio delle credenziali sottratte:

In questo caso gli indirizzi mails sono differenti rispetto a quelli utilizzati ieri, ma comunque anche diversi da quello usato per parecchio tempo da altro gruppo di phishers (r-team per chi segue il blog) coinvolto in attacchi anche a Banco di Desio.

Edgar

Ancora Banco Desio nel mirino dei phishers ma questa volta in compagnia di Bank of America (25 gennaio)

Gli attacchi a Banco Desio vedono nelle ultime 24 ore un notevole impegno da parte dei phishers.
Di poche ore fa due analisi (link 1 e link 2) di phishing che vedevano una intensa attivita' di messa online di siti clone della banca.

Quello che risulta evidente in questo nuov caso e':

una cura maggiore rispetto al passato (probabile altro gruppo di phishers ?) del layout della pagina e della acquisizione dei dati da sottrarre con la verifica della presenza dei codici nel form di richiesta ( come il caso visto poche ore fa),

presenza di icone ingannevoli (favicon) per le pagine clone

ma anche differenti nomi ingannevoli di files usati (es. areaprivati.php rispetto all'usuale index.html)

Come si vede da questo screenshot il sito compromesso che ora ospita il fake login e' quello di un blog

con whois

che include questi 2 folders di phishing

da cui rileviamo sia azione ai danni di Banco Desio ma anche di Bank of America.

Ecco il relativo phishing B.of America (stessa cura nel layout al riguardo delle icone del logo B.of America)

Attualmente ( quando in Italia sono le 2 di notte del 25 gennaio le 8 AM in Bangkok) i due phishing sono attivi.

C'e' da considerare che trovandomi in Bangkok c'e' il vantaggio di analizzare per cosi dire in 'anteprima' (avendo 6 ore di differenza tra qui e l'Italia) questo nuovo percorso di phishing che probabilmente e' ancora poco o niente visitato da eventuali utenti italiani che avessero ricevuto la mail di phishing con il nuovo link.

Questo il subfolder del phishing

mentre come si vede, la pagina presenta il layout piu' curato rispetto es. ad un precedente phishing (nel precedente abbiamo diverso nome del file html ed anche nessuna icona (favicon) personalizzata con logo B.di Desio.

Ecco infatti sull'attuale phisihing , come gia' detto, anche l'icona a fianco dell'url che riproduce il logo della banca.

Questa invece la struttura totale del sito clone dove notiamo i due phisihng (B.Desio e B of America)

Vedremo nelle prossime ore se continuera' questa attivita' di phishing e, se e come verranno modificati i relativi redirects.

Al momento il phisihng visto ora e' comunque linkato attraverso precedente sito compromesso che presenta Innova Studio Asset Manager attivo, cosa che farebbe comunque pensare a vecchio gruppo di phishers anche se le caratteristiche del layout del sito sembrano indicare altra provenienza.

Edgar