martedì 31 maggio 2011

Continua il phishing Banca C.R. Asti. (Aggiornamento ore 8 AM thai time - 31 maggio)

Niente di nuovo sull'azione di phishing ai danni di Banca C.R. Asti tranne che la modifica del nome del file relativo al codice del clone.

Riassumendo abbiamo i due redirect:

su sito cinese

e su sito turco (Easy Content f.m.) dalla giornata di ieri

che puntano entrambi al sito tedesco con Innova Studio a. m. che vede ora il nome del file clone modificato in

e questo sempre nell'intento di evitare eventuali black-list degli indirizzi di phishing.

Edgar

lunedì 30 maggio 2011

Continua il phishing Banca C.R. Asti. (Aggiornamento ore 22 thai time - 30 maggio)

Il sito thai che questa mattina ospitava il clone parrebbe essere stato bonificato ed i phishers hanno quindi variato il redirect (sempre attivo su sito turco ) puntando ora a :

e nuovamente attraverso l'uso di Innova Studio Asset Manager (attivo ed accessibilie senza restrizioni da remoto sul sito tedesco) per gestire il clone Banca C.R. Asti.

Edgar

Pagine incluse con links a malware e riconoscimento VT estremamente basso per i files proposti. Aggiornamenti (30 maggio)

AVVISO IMPORTANTE! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di links a pagine/siti dai contenuti spesso poco affidabili (possibile presenza di malware, exploit ecc....)

Approfondendo l'analisi dei risultati di una attuale ricerca in rete possiamo trovare decine di risultati simili a quello segnalato QUI che cliccati linkano direttamente a

per passare poi a

Si tratta di pagina di falso scanner AV che parrebbe essere linkata in prevalenza da siti IT compromessi hostati su range IP

Mentre nella serata di eri solo 2 dei software su report VT evidenziavano il pericolo (passati a 3 questa mattina)
adesso abbiamo una situazione leggermente migliore con

che rilevano il file come pericoloso.

Edgar

Continua il phishing Banca C.R. Asti (30 maggio)

Mentre parrebbe essere ancora attivo il 'solito' sito cinese

che effettua un redirect aggiornato alla data odierna ma al momento comunque che punta a clone non attivo

abbiamo anche un nuovo phishing ai danni di C.R. Asti attraverso questa mail ricevuta oggi, e che e' praticamente identica nel layout ad una di qualche giorno fa

Anche gli headers mostrano sempre una probabile origine da server francese come visto molte volte in passato

Il codice di redirect ritorna invece ad essere ospitato su server con whois turco (molte volte nei mesi scorsi abbiamo visto siti turchi con Easy Content f.m. utilizzati)

dove troviamo l'interfaccia di gestione contenuti attribuibile ad Easy Content f.m.


che redirige su sito da queste parti

e con l'ennesima presenza di Innova Studio Asset Manager per la gestione dei contenuti e naturalmente del clone di phishing C.R. Asti.

Edgar

venerdì 27 maggio 2011

Pagine incluse con links a malware e riconoscimento VT estremamente basso per i files proposti (27 maggio)

AVVISO IMPORTANTE! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di links a pagine/siti dai contenuti spesso poco affidabili (possibile presenza di malware, exploit ecc....)

Pochi giorni fa avevamo visto come i risultati di una ricerca Google Images possano linkare pagine, nascoste su siti legittimi, che provvedono a redirigere su siti poco affidabili o peggio contenenti malware, falsi AV ecc....

Quella che vediamo ora e' invece una odierna ricerca Google

che presenta come risultati un buon numero di links a pagine nascoste incluse su sito .IT relativo a negozio di ferramenta

Come si nota dal time di indicizzazione dei risultati da parte del motore di ricerca, le pagine incluse parrebbero essere molto recenti.

Attraverso l'opzione Google che mostra una anteprima della pagina trovata possiamo inoltre vedere come la stessa presenti layout simile a quelli gia' visti in passato.

Chiaramente, come gia' descritto qui, (utilizzo di referer) chi cliccasse su uno dei link proposti dal motore di ricerca non vedrebbe la pagina inclusa ma sarebbe direttamente portato su uno dei siti di redirect a malware, falsi AV ecc...


Nel caso odierno si viene reindirizzati su questa pagina che dopo un avviso di presenza malware

mostra il consueto layout di scanner AV online che tenta di far scaricare un eseguibile.


Un whois del fake scanner online mostra una provenienza Est Europea come accade sovente in questo genere di pagine.


Una analisi VT

dimostra che, almeno al momento, il riconoscimento del file e' estremamente basso (solo 5 dei software AV reali individuano la minaccia),

cosa molto comune ad eseguibili proposti da questo genere di pagine incluse, che anche attraverso l'uso di redirects possono aggiornare i contenuti malevoli e le pagine proposte, a brevi intervalli di tempo.

Edgar

Aggiornamenti phishing Banca C.R. Asti (27 maggio)

La sollecita 'bonifica' del sito con whois USA che ospitava il clone Banca C.R.Asti, analizzato ieri, vede ora i phishers tornare nuovamente ad utilizzare un dominio creato sul 'solito' servizio di hosting USA, in data odierna

e chiaramente anche la modifica dei codici di redirects relativi presenti sia sul sito UK ( visto ieri )

che sul 'datato' sito di redirects con whois cinese

Edgar

giovedì 26 maggio 2011

Aggiornamenti phishing Banca C.R. Asti (26 maggio)

Continua il phishing ai danni di Banca C.R. Asti con qualche novita'.

Ecco un nuovo codice di redirect ospitato su sito con whois

e con l'immancabile interfaccia online di Innova Studio Asset Manager


In questo caso il codice presente punta a clone CR. Asti che e' ospitato su sito con whois

ed ancora con Innova Studio come gestore dei contenuti.

Il sito che ospita il clone parrebbe essere gia' stato interessato nei giorni scorsi da supporto a phishing, come si rileva da segnalazioni in rete e comunque il fatto di avere l'interfaccia Innova Studio accessibile senza restrizioni ha permesso ad esempio l'upload di codice del tipo

Nonostante questi 2 nuovi siti sfruttati per gestire il phishing C.R. Asti, quello cinese ormai usato da parecchio, e non solo per phisihng C.R.Asti, visto nei giorni scorsi, continua comunque ad essere attivo.
Evidentemente si vogliono utilizzare ancora, anche le mail inviate nei giorni scorsi mantenendo i links attivi online.

L'unica differenza sul phishing C.R.Asti tramite redirect 'cinese' e' che mentre questa mattina ora thai il codice presente puntava a clone C.R.Asti

su nuovo dominio su hosting USA,

attualmente, vista la disponibilita' del nuovo 'hosting' per il clone i phishers hanno modificato il codice (notare data e time attuali)

facendolo puntare al nuovo sito copia C.R.Asti su Innova Studio A.M. analizzato ad inizio post.

Edgar

mercoledì 25 maggio 2011

Search Engine Optimization (SEO) poisoning anche attraverso la ricerca immagini Google (25 maggio)

AVVISO IMPORTANTE! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di links a pagine/siti dai contenuti spesso poco affidabili (possibile presenza di malware, exploit ecc....)

In un post pubblicato recentemente su F-Secure Weblog viene trattato il problema sempre piu' spesso ricorrente di ricerche Google Images che propongono links a trojan, exploit o comunque siti di dubbia affidabilita'.

Vediamo qualche dettaglio attraverso una attuale ricerca in rete su Google Images utilizzando la medesima ricerca usata da F-Secure Labs e precisamente quella relativa all'attrice statunitense Olivia Wilde.

Questi i risultati tra cui notiamo alcune foto

dai link particolari

Se infatti analizziamo il codice proposto da Google Images notiamo la non corrispondenza tra il link relativo all'immagine (full-size image) ed il link di riferimento al sito che la propone (una delle foto e' ad esempio linkata da sito .IT di nota rivista di moda)

Ecco un ulteriore dettaglio cliccando sulla thumbnail di una delle foto trovate:

La presenza di immagini linkate da siti esterni a quello in uso e' una caratteristica abbastanza comune alle pagine 'fake' (in genere layout simile a blog) incluse su siti legittimi, siti che sono stati compromessi proprio allo scopo di ospitarle in maniera nascosta onde evitare che chi li amministra e/o utilizza venga a conoscenza della loro presenza.

La struttura di una pagina 'tipo' e' costituita di solito da testo contente centinaia di termini (molto spesso acquisiti tra quelli proposti da Google Trends)

da sfruttare per far comparire il link ai primi posti dei risultati di ricerca Google e varie foto che verranno linkate da Google Images.

Da notare come almeno 2 delle immagini presenti nella pagina siano state indicizzate da Google Images

Naturalmente le pagine incluse in maniera nascosta sono decine e trattano 'argomenti' di attualita' o che comunque sono tra i piu' ricercati in rete. Quella che vediamo e' una analisi dei links presenti nella pagina vista prima

che puntano ad altrettante pagine, sempre incluse nel medesimo sito compromesso, e che trattano es:

od ancora, molto attuale, la descrizione disastrosi fenomeni atmosferici (tornado ecc...)

Una volta che si e' cliccato sul link risultato della ricerca Google o sul link proposto da Google Images (quindi provenendo da pagine con referer Google) si viene portati su questo sito intermedio

che gestisce i redirect, garantendo cosi' la possibilita' di variare in qualunque momento il sito finale a cui puntare.

Chiaramente basta forzare un referer Google quando visualizziamo una delle pagine incluse per ottenere lo stesso risultato.

Attualmente il redirect presente punta a sito con whois

che propone download di files dopo registrazione a pagamento.

Per quanto riguarda i siti compromessi, nel caso visto ora sembrerebbero preferenzialmente colpiti siti Wordpress e nello specifico attraverso inclusione di codici all'interno del folder wp-images come risulta anche da una ricerca in rete.

Tra l'altro un whois di quello analizzato adesso vede un IP di hoster inglese, che, sara' solo un caso ?, era stato coinvolto a partire dal settembre 2009, in azioni di SEO poisoning anche ai danni di decine di siti IT ed andate avanti per quasi un anno

Abbastanza normale che attualmente anche alcuni siti IT compaiano nei risultati di ricerca dei siti WP compromessi, come ad esempio

Edgar