lunedì 28 febbraio 2011

Phishing Cassa di Risparmio di Ferrara (28 febbraio)

Poche righe per descrivere una nuova modifica dei contenuti del file di redirect ospitato sul noto sito brasiliano, utilizzato ormai da giorni, che evidenzia anche un nuovo modo di operare dei phishers riguardo alla scelta dell'hosting del sito clone.

Questo fa pensare che potremmo essere di fronte a differente gruppo di phishers che sta gestendo ora l'attacco a CARIFE, sostituendosi ad R-team ed usando non solo gli stessi siti di redir ma anche modificando online i codici di redirects up-loadati inizialmente e modificati nel tempo da R-team

In alternativa potrebbe trattarsi solo di una maggiore attenzione di R-team nel scegliere i siti dove depositare i codici di phishing.

Non ricordo infatti siti cinesi che in passato fossero stati utilizzati per ospitare cloni gestiti dal gruppo denominato da Denis Frati R-team.

Il codice di redirect attuale

punta infatti a sito clone Cassa di Risparmio di Ferrara


con whois cinese

La homepage relativa all'indirizzo di phishing mostra solo questo avviso di 'under construction'

cosa che potrebbe anche significare che ci troviamo di fronte a sito creato solo allo scopo di ospitare il phishing CARIFE

Edgar

Esteso uso di alias per phishing 'BancoPosta Click' (28 febbraio)

L'uso di siti che forniscono servizio free di alias e' una scelta sempre molto utilizzata in attacchi di phishing ai danni di PosteIT.

Lo scopo e' sempre quello di creare, attraverso l'alias, una url ingannevole che andra' a mascherare , almeno in parte, la reale url del sito compromesso utilizzato per ospitare il clone di phishing.

Attualmente compaiono in rete alcuni siti di phishing PosteIT di cui vediamo la homepage del clone

e che, esaminando la struttura della pagina, si nota utilizzare un servizio di alias

gestito da sito su dominio polacco con whois

Esaminando detto sito possiamo osservare nella lista degli ultimi alias creati diverse urls ingannevoli riferite a PosteIT, tra cui le piu' recenti utilizzate per il phishing 'BancoPosta Click' prima.

Confrontando il sito clone

con l'originale 'BancoPosta Click'

si nota come, sia lurl creata con il servizio free di alias, che lo stesso layout della pagina del clone, propongano un phishing molto ingannevole.

Chiaramente il reale sito che copia quello 'BancoPosta Click' e' incluso in sito con diversa url mascherata dall'alias.

Si tratta di sito compromesso con whois USA e di cui vediamo la parziale struttura che evidenzia la presenza di due folders con contenuti di phishing 'BancoPosta Click'

mentre questo e' un dettaglio del folder che ospita il clone e di cui possiamo osservale la reale url che risulta certamente molto meno ingannevole se non venisse mascherata da quella creata con il servizio di free alias polacco.

Edgar

domenica 27 febbraio 2011

Phishing ai danni di banche IT a diffusione regionale. Alcune novita' (agg. 27 febbraio)

Da quanto si rileva in rete nelle ultime ore attraverso siti che propongono liste aggiornate di azioni di phishing e dalla situazione dei contenuti di redirect visti ieri che risultano ora modificati abbiamo alcune conferme al riguardo di una possibile gestione dei siti clone da parte di phishers in concorrenza se non addirittura in aperto contrasto con quelli visti sino ad ora e denominati 'r-team' da Denis Frati.

Gia' i giorni scorsi con questo post evidenziavo la 'concorrenza' possibile tra R-team ed altri phisher attraverso un clone online le cui caratteristiche facevano pensare ad azione di phishers diversi dai 'soliti' che agiscono ormai da mesi.


Ecco alcuni dettagli sulla situazione attuale:

Riguardo a Banca del Piemonte compare,da ieri, un clone

ospitato su sito compromesso in maniera ampia e gia' da tempo (basti vedere ricerche in rete che propongono detta Url ospitare shell derivate da azioni di hacking)

L'azione di phishing, esaminandone i contenuuti, non sembra essere attribuibile ad R-team (differenti modi di upload del clone sul sito, piattaforma OS Commerce presente come in analoghi casi non R-team, diverse le credenziali di invio dei dati sottratti …..ecc....)

Contemporaneamente i redirects presenti su siti brasiliani visti ieri nel caso di phishing Cassa di Risparmi di Ferrara

risultano modificati e puntano a sito koreano compromesso che ospita la stesso phishing Cassa di Risparmio di Ferrara.

Anche in questo caso si notano diverse incongruenze rispetto al normale modo di operare di R-Team che ormai da mesi utilizza ampiamente Innova Studio asset manager o Easy Content File Manager per gestire l'upload dei codici di redirects ed in parte anche dei cloni di phishing.

Il sito .KR utilizzato ora, sembra invece essere compromesso con differente tecnica piu' complessa rispetto a quella usata da R-team e questo farebbe pensare ad una possibile azione di phisher che, trovati in rete i redirects gestiti da R-team, li modifica facendoli puntare a propria pagina clone ospitata su differente sito.

L'alternativa a questo puo' comunque essere l'acquisizione di una maggiore competenza da parte di R-team per uploadare cloni di phishing, cosa che vedremo se sara' confermata prossimamente.

Edgar

sabato 26 febbraio 2011

Siti compromessi IT (agg. 26 febbraio)

Quasi tutti i siti .IT, trovati con una analisi di reverse IP su

presentano inclusa la pagina

Questo un report che dimostra l'alto numero di siti compromessi

Medesimo layout di pagina inclusa e probabile medesima fonte di hacking appaiono in precedenti attacchi come ad esempio quello indicato in questo post di fine 2010.

Edgar

Phishing Cassa di Risparmio di Ferrara (agg. 26 febbraio)

Nella serata di ieri (25 febbraio – ore 21.30 thai) il sito .br che ospitava differenti phishing analizzati qui, risultava OFF-line rendendo inutilizzabili i vari redirects che ospitava.

Questa mattina (26 febbraio ore 7.30 thai) il sito appare nuovamente attivo ma rimane solo online uno dei codici di redirect

dei molti visti ieri

e precisamente quello a CARIFE che attualmente punta a sito clone su Altervista.

Contemporaneamente e' pero' ora nuovamente attivo, probabilmente per avere una alternativa a quello messo parzialmente OFF-line, l'altro sito brasiliano gia' noto, che propone, attraverso la gestione con Asset Manager Innova Studio,

un identico redirect sempre a CARIFE ed a stesso clone hostato su Altervista.

Edgar

venerdì 25 febbraio 2011

Phishing ai danni di banche IT a diffusione regionale. Concorrenza tra phishers ? (25 febbraio)

Qualche giorno fa segnalavo in questo post la presenza in rete di clone Valsabbina, le cui caratteristiche facevano pensare ad azione di altri phishers, rispetto al solito gruppo attivo attualmente, che colpisce in prevalenza banche italiane a diffusione regionale.

Anche Denis Frati, esaminati i contenuti del phishing, era del parere della probabile appartenenza a diverso gruppo rispetto a quello da lui denominato R-Team avanzando anche l'ipotesi che, viste le strette analogie dei sorgenti on-line con quelli di altri analoghi phishing R-Team, ci fosse comunque la mano dello stesso sviluppatore dietro ai codici di phisihng.

Attualmente lo stesso sito compromesso che ospitava il clone Valsabbina propone un nuovo phishing ai danni di Banca del Piemonte,

in una sorta di quasi gara tra phishers che puntano ad attaccare il medesimo istituto bancario.

Anche oggi una analisi dei codici di phishing rivela mail di invio credenziali eventualmente sottratte a differente indirizzo rispetto all'usuale utilizzato da R-team,

indirizzo comunque identico al phishing Valsabbina ospitato sempre sullo stesso sito compromesso.

Pare quindi di trovarsi di fronte al medesimo phisher che propone obiettivi di phishing in concorrenza con R-team.

Per quanto si riferisce ad un confronto dei sorgenti, odierno ed R-team questa volta le differenze sono piu' marcate rispetto alla scorsa volta considerata anche la presenza di testo sulla pagina di login Banca del Piemonte (R-team) assente su quella di login attuale.
Ecco un dettaglio dell'attuale clone Banca del Piemonte attualmente ospitato ed attivo su sito vietnamita.


Edgar

Phishing 'assortito' ai danni di banche IT. Ritorna anche phishing ai danni di Cassa di Risparmio di Ferrara (CARIFE) (agg.25 febbraio)

Attualmente, sul noto sito con whois brasiliano, che attraverso una interfaccia di file manager accessibile da remoto, viene utilizzato dai phishers

abbiamo la presenza di un nuovo codice di redirect

che sfruttando sito creato su servizio free di hosting Altervista, propone un clone ai danni di Cassa di Risparmio di Ferrara

Da notare come, contrariamente a quanto visto in casi recenti QUI e QUI, pur avendo la pagina iniziale di login al servizio di Home Banking il form ospitato in frame , la reale pagina della banca proponga tutte le evidenze di una connessione HTTPS compreso l'icona del lucchetto, come anche indicato dal testo ( pure presente sulla pagina di phishing)

Questo perche' non solo il form di login risiede su connessione protetta ma tutto il sito di CARIFE utilizza il formato HTTPS, cosa che aumenta le possibilita' di contrasto al phishing fornendo un supporto, anche visivo, sull'autenticita' o meno del sito

Tra l'altro a maggio 2010 in questo post su un phishing CARIFE, compariva un dettaglio sulla possibilita' di avere un sito clone ingannevole poiche' la pagina di login NON aveva una protezione sui dati digitati (il consueto lucchetto che indica una connessione sicura) ma una connessione protetta solo per il form di login (ospitato in frame),
Come risulta dal nuovo layout del sito Cassa di Risparmio di Ferrara questo problema e' ora risolto.

Altre azioni di phishing ai danni di CARIFE si sono sviluppate dalla meta' dello scorso anno e in maniera insistente, come risulta dai diversi post sul blog e molti di questi casi sono riferibili sempre al medesimo gruppo di phishers che ormai da mesi sta attaccando banche IT a diffusione prevalentemente regionale.

La conferma che si tratta, quantomeno di source di phishing simile a quello usato in passato, la abbiamo analizzando il codice della pagina clone odierna

dove notiamo che la stessa e' stata acquisita dall'originale presente sul sito della banca attraverso HTTrack cosi' come come il source analizzato in precedenza

e come indicato chiaramente su questo post.

Da quanto attualmente proposto sul sito di redirect .br visto prima,

oltre al phishing CARIFE abbiamo altri redirect a cloni attualmente attivi gia' da ieri ed hostati sempre su sito vietnamita gia' analizzato e che propongono sia phishing Valsabbina (2 redirects) che Banca del Piemonte (1 redirect).

Edgar

giovedì 24 febbraio 2011

'Rapidi cambiamenti'. Ulteriore aggiornamento phishing Banca del Piemonte con modifica del sito finale di phishing (24 febbraio)

Neanche il tempo di analizzare la situazione attuale di phishing Banca del Piemonte che assistiamo all'ennesima modifica odierna del redirect

che ritorna a puntare, come hosting del phishing Banca del Piemonte, a sito vietnamita gia' analizzato, che ospita attualmente anche il clone banca Valsabbina.

Questo un particolare del folder i cui contenuti, compreso i codici di phishing, sono gestiti tramite Innova Studio Asset Manager

Restano da capire le cause di questa frenetica attivita' dei phishers che in poche ore hanno gia' cambiato ben 3 volte l'indirizzo che ospita il sito clone della banca puntando prima a sito vietnamita, poi belga e ora nuovamente vietnamita, ma tutti che comunque utilizzano la nota interfaccia di file manager Innova Studio.

L'analisi di questa continua serie di variazioni dei codici di redirect e' anche resa possibile grazie ad uno script Autoit che monitorizza ad intervalli di tempo regolari i codici di redirect presenti sui vari siti e genera un avviso quando rileva i codici modificati con diverso indirizzo al clone di phishing

Questa l'interfaccia ancora comunque in fase di sviluppo di gestione dello script


Edgar

Aggiornamento Banca del Piemonte (24 febbraio - ore 10.50 AM thai time)

Come consuetudine di queste azioni di phishing poco dopo la pubblicazione del precedente post si nota gia' una modifica del codice di redirect

da cui

Siamo ora passati a sito con whois francese

e dominio belga .be e che utilizza ancora una volta Asset Manager (notare l'uso della lingua francese per l'Asset Manager) per gestire i contenuti



cosa che ha permesso l'upload del clone Banca del Piemonte su questo nuovo indirizzo

Edgar

Aggiornamento phishing ai danni di banche IT a prevalente diffusione regionale. Ritorna quello Banca del Piemonte (24 febbraio)

Prosegue il phishing ai danni di Banche IT gia' colpite in passato, come ormai e' consuetudine del gruppo di phisher denominato R-Team da Denis Frati.

A distanza, di solito di qualche settimana o, al massimo, uno o due mesi, ricompaiono infatti vittima del phishing, le stesse banche gia' colpite in passato ed utilizzando sempre i medesimi sistemi di diffusione dei cloni che semplicemente possiamo riassumere in :

mail di phishing ----> redirect su sito gestito con file manager accessibile da remoto (Innova Studio, Easy content f. m.) ---> sito finale di phishing su 1) Sito clone gestito da file manager come per il redirect oppure 2) Sito clone con nuovo dominio (usa e getta) su hosting a pagamento a basso costo o, in alternativa, 3) sito clone su free hosting e relativo dominio (es. Altervista)

Ecco cosi' che, questa mattina (ora thai), Banca del Piemonte ritorna ad essere obiettivo di phishing attraverso codice di redirect

ospitato sempre sull'ormai noto sito brasiliano che utilizza File Manager accessibile da remoto

e che abbiamo visto essere utilizzato anche per altri redirect a phishing.

In particolare sono ancora attivi sullo stesso, 2 codici di redirects (indicati in azzurro) a clone Banca Valsabbina .

Il clone di Banca del Piemonte

e' hostato su un nuovo sito vietnamita non rilevato in passato

ed e gestito ancora una volta, attraverso l'utilizzo di Innova Studio asset manager

Ricordo che Banca del Piemonte compariva colpita da azioni di phishing gia' alla fine dello scorso anno, cosa descritta sia in questo post di meta' novembre 2010 (possibile altro gruppo di phishers rispetto al probabile odierno R-team, visti i dettagli relativi sia all'indirizzo mail di invio credenziali sottratte che all'utilizzo di Zeroboard come gestore del clone)
Ad inizio dicembre 2010 in questo post e nei successivi, compare invece una piu' stretta analogia con azioni di phishing gestite da R-Team.

Anche nel mese di dicembre notiamo comunque un ulteriore caso, indicato qui, che faceva pensare,visto anche l'uso di un allegato mail, nuovamente a differente phisher.

Vedi anche aggiornamento redirect su nuovo post

Edgar

mercoledì 23 febbraio 2011

Un differente phishing Banca Valsabbina (23 febbraio)

Come gia' accaduto in passato, al riguardo di azioni di phishing, possiamo avere attacchi alla medesima banca ma da parte di differenti phishers.

Questo un attuale sito clone Banca Valsabbina, le cui caratteristiche fanno pensare appunto ad altri phishers, rispetto al solito gruppo attivo attualmente che colpisce in prevalenza banche italiane a diffusione regionale.

Questa la pagina clone di login


ospitata su sito con whois Usa.

Da notare, come si vede dalla struttura del sito di phishing,

la diversa organizzazione dei files presenti, cosa che differenzia questo sito da quello , sempre ai danni Valsabbina ed attribuibile al gruppo che Denis Frati ha denominato R-Team, (clone attualmente presente su sito .vn e gestito con asset manager Innova Studio.)

Il confronto tra i due sorgenti mostra alcune differenze, a parte il diverso nome del file htm della pagina di login.

In questo caso parrebbero inoltre non essere utilizzati i consueti files managers gia' visiti in passato per uploadare i contenuti clone.

Il nuovo clone Valsabbina e' hostato su sito che presenta anche statistiche che come sempre rivelano sia l'impennata degli accessi allo stesso a partire dalla probabile data di attivazione del sito di phishing


che la provenienza di chi si e' connesso al sito con diversi riferimenti ad IP italiani

Edgar