venerdì 30 settembre 2011

Phishing eBay e Paypal (30 settembre)

eBay e' sicuramente tra le aziende al top in fatto di numero di attacchi di phishing insieme a PayPal.
Questa una mail di phishing eBay ricevuta oggi scritta in un italiano abbastanza approssimativo


con link a sito di redirect su sito compromesso con whois USA che mostra un interessante codice

che punta a server IT

dove troviamo il clone eBay ma non solo

Come si nota dal contenuto del folder che ospita il phishing troviamo anche un file TXT (al momento senza contenuti di rilievo) ma che parrebbe essere utilizzato per salvare le credenziali di accesso digitate sul falso login eBay.

Procedendo nell'analisi dei contenuti si evidenzia la presenza di


un KIT di phishing PayPal , un folder che ospita un clone PayPal, con data peraltro non recente ed, il folder che ospita il clone E-bay con data attuale.

Il KIT presenta comunque date recenti per i contenuti PHP e TXT

che parrebbero confermare anche per questo phishing la scelta da parte dei phishers di utilizzare il salvataggio delle credenziali di accesso sottratte su file TXT e non l'invio delle stesse tramite e-mail.

Edgar

Nota di servizio (30 settembre)

A partire dal 2 ottobre, e per qualche giorno, non verranno pubblicati posts sul blog a causa di una gita del sottoscritto e famiglia a Phuket, dove si celebra in questi giorni il Phuket Vegetarian Festival 2011. (qualche INFO in lingua italiana QUI)

La pubblicazione dei posts sul blog riprendera' alla fine della prossima settimana (7 – 8 ottobre)


Edgar

mercoledì 28 settembre 2011

Phishing PosteIT (28 settembre)

Tra i numerosi casi di phishing PosteIT segnalati in rete vediamo questo redirect su sito

che presenta folder contenente sia il codice html che redirige al clone che alcuni codici php tra cui una shell che vedremo anche presente sul clone

Il redirect punta a sito con whois USA che ospita il phishing PosteIT

Da notare un folder /chat/ indicante la presenza di questa chat PHP

di cui sono note diverse vulnerabilita'.

In effetti sul medesimo folder della chat troviamo anche alcuni codici php di shells tra cui una gia' vista sul redirect (photo346.php)


piu il KIT di phishing PosteIT utilizzato

con data 2011 solo per il file che si occupa dell'invio delle credenziali eventualmente sottratte dai phishers cosa che dimostra che gli stessi stanno probabilmente portando avanti azioni di phishing ai danni di PosteIT da qualche mese

Da notare come questa volta le mails di invio credenziali ai phishers siano due

come si nota dal source PHP.

Edgar

Distribuzione malware attraverso codici di redirects su siti compromessi IT (28 settembre)

AVVISO IMPORTANTE! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di pagine e siti dai contenuti poco affidabili (possibile presenza di malware, exploit ecc....) che distribuiscono anche eseguibili poco riconosciuti dai software AV.

Ecco una ricerca in rete che punta ad uno dei tanti siti compromessi presenti in rete allo scopo di proporre ricerche in rete con link a malware.

Si tratta di sito IT indicizzato da qualche ora da parte di Google e che ancora una volta evidenzia la tecnica utilizzata da chi vuole distribuire links a malware, di solito attraverso falsi install, players o plugin, che sarebbero necessari per visualizzare filmati presenti su sito di contenuti porno.

Come si nota da questa attuale ricerca, il sito in questione viene proposto da Google sia con link a pagine legittime, che links con riferimenti a termini porno, ma tutto questo utilizzando come chiave di ricerca il solo indirizzo web del sito.

Cliccando su uno dei risultati, sia che si tratti di pagine del sito, che di testo relativo ai contenuti per adulti , non succede niente di particolare, venendo visualizzata una pagina del sito.

La stessa cosa naturalmente accade anche accedendo direttamente al sito senza utilizzare i links proposti dai risultati di ricerca

Ecco invece che se inseriamo come chiave di ricerca, oltre alla url del sito anche un termine come ' sex … porno ....'

i risultati proposti, se cliccati, ci reindirizzano direttamente a questa pagina di falsi filmati video dal layout ormai noto da parecchio tempo.

In pratica, solo una ricerca in rete per termini 'particolari' vedra' il reindirizzamento al sito malware che propone questo download di fake installer di player flash, mentre per chi visita il sito avendo cercato in rete con argomenti relativi ai contenuti dello stesso, o direttamente digitando l'url nel browser, verranno proposte le legittime pagine trovate da Google.

Attraverso questo sistema chi vuole distribuire malware ottiene il vantaggio di avere un hosting free di links a files pericolosi, ma anche, di non rendere visibile ai frequentatori del sito compromesso i link al malware.

Per quanto si riferisce al file fake linkato abbiamo questa sequenza di redirects

che partendo da ricerca Google giunge a sito con whois

che ospita le false pagine di links a filmati video.

L'eseguibile proposto in automatico per il download mostra, ad una analisi VT, un basso riconoscimento dei contenuti pericolosi.

con


In questo precedente post veniva analizzata una tecnica simile ma utilizzata per proporre links a siti di pharmacy.

Edgar

lunedì 26 settembre 2011

Phishing VISA (26 settembre)

Ricevuta mail di phishing VISA in lingua italiana

Come si nota dalla data presente si tratta di mail aggiornata e che, anche se nel messaggio si scrive di allegato, presenta link a sito compromesso (che utilizza Wordpress) con whois

Gli headers in mail parrebbero indicare provenienza brasiliana del messaggio


Il clone linkato e' costituito da form che verifica dettagliatamente i dati immessi

ed anche

chiaramente dal punto di vista formale della correttezza di quanto digitato.

In ogni caso risulta comunque un form ingannevole che tenta di riprodurre una reale connessione a servizio online.

Piu' interessante e' analizzare l'URL del phishing:
Cosi' facendo si scopre che in rete il medesimo percorso a '…........../2/index.htm.........' e' presente su analogo phishing Visa hostato su sito koreano compromesso

sviluppato in Zeroboard che, come gia' osservato molte volte ed a esempio qui, presenta una tipica struttura con, nel caso specifico di attacco a Zeroboard, la presenza di shell testuale in un determinato folder

Questo permette di evidenziare il kit di phishing con le seguenti caratteristiche.

Notare che la data del file PHP e' l'unica aggiornata dal phisher per settare l'indirizzo mail a cui inviare i dati sottratti.

A conferma della probabile medesima origine dei due phishing, se torniamo al phishing collegato alla mail ricevuta e proviamo a cercare un KIT di phishing con uguale nome, ne troviamo uno, identico al precedente e con la stessa mail di invio credenziali eventualmente sottratte.

Una volta acquisiti i dati il codice php provvede poi, a redirigere sul reale sito di Visa Italia.

Edgar

venerdì 23 settembre 2011

Phishing Lottomatica. (23 settembre)

Continua insistente il phishing ai danni di Lottomatica.
Si tratta sempre di pagine clone gestite attraverso siti con la disponibilita' online di file manager e l'utilizzo di domini creati appositamente su hosting USA come gia' visto in passato.

Questo l'ennesimo Asset Manager Innova Studio che ha permesso l'upload del codice di redirect


su sito con whois UK

Detto sito pare avere oltre che all'Asset Manager raggiungibile da remoto senza particolari restrizioni , anche seri problemi di sicurezza a livello di amministrazione del sito stesso, dato che, ad esempio, sono visitabili da remoto il pannello di amministrazione dei contenuti del sito e l'editor delle pagine Web

Il redirect punta a sito con whois israeliano

con IP sempre nel range di altri utilizzati in passato per gli stessi scopi.

Questo un dettaglio del file manager dal layout piu' 'moderno' rispetto al consueto Innova, e che presenta i codici del clone Lottomatica su due diverse pagine

e

Da notare come gia' evidenziato in un precedente post, sia dal sottoscritto qui, che ieri da Denis Frati qui, che i codici linkati dai form che dovrebbero inviare ai phishers le credenziali sottratte,

sono ospitati su differente dominio creato sul solito servizio di hosting USA

Questo un dettaglio del contenuto con i due codici PHP collegati ai due forms di phishing

E' chiaro che un layout del genere e' stato scelto dai phishers principalmente per ovviare al fatto che sul sito israeliano con Asset Manager, dove sono stati caricati i codici del clone , non e' permesso l'upload di files di tipo PHP, come vediamo dallo screenshot

Utilizzando un sito esterno a quello di phishing, che consente l'uso di PHP i phishers hanno quindi risolto il problema e possono servirsi anche di Asset Manager che sono configurati per bloccare eventuali upload di codici 'pericolosi' (es shells php, asp...) o comunque usare siti dove nei folders di upload non esistono i permessi per l'esecuzione di php, asp ecc....

Inoltre visto che, almeno al momento, il dominio USA ospita solo due semplici codici php poco visibili, e' probabile che lo stesso rimanga online per un po di tempo e venga usato anche in successivi phishing Lottomatica.

Edgar

Monitoraggio rientro satellite Uars, Alcuni links

Rientro satellite Nasa: Concluso Comitato Operativo (aggiornamento ore 3.45) 24 settembre 2011



Ecco i links

Ultimi Aggiornamenti blog 24 settembre thai time 8.20 AM (Italy 24 settembre - 3.20 AM)

Protezione Civile Italia


http://www.protezionecivile.gov.it/

NB: Gli aggiornamenti sono nei link AREA STAMPA - comunicati stampa a destra nella pagina

Rientro satellite Nasa: Concluso Comitato Operativo (aggiornamento ore 3.45) 24 settembre 2011

Nel corso dell’ultimo aggiornamento del Comitato Operativo, il Comitato tecnico scientifico ha escluso la possibilità che uno o più frammenti del satellite UARS cadano sul territorio italiano.

Di conseguenza, il Capo Dipartimento della Protezione civile – Commissario delegato, con l’accordo unanime di tutti i componenti del Comitato Operativo e dei Centri di coordinamento delle Regioni interessate, alle ore 3.40, dopo l’ultimo sorvolo del nostro Paese, ha dichiarato concluse le attività del Comitato stesso.

=========================================================================

NASA

http://www.nasa.gov/mission_pages/uars/index.html


twitter

http://twitter.com/#!/UARS_Reentry


Real time orbita satellite ma sito 'saturato' da troppe richieste...

http://www.n2yo.com/uars-decay/

http://www.n2yo.com/ (mappa interattiva)

http://www.n2yo.com/?s=21701

Link al Blog di Paolo Attivissimo con numerosi collegamenti a siti di interesse

http://attivissimo.blogspot.com/2011/09/satellite-minaccia-la-terra.html

Ultimi Aggiornamenti
24 settembre thai time 11.55 AM (italy 24/9 - 06.55 AM)

Nuovo punto di impatto calcolato come anche da comunicato NASA

Update #13
Sat, 24 Sep 2011 11:55:17 AM GMT+0700 (thai time)

As of 10:30 p.m. EDT on Sept. 23, 2011, the orbit of UARS was 85 miles by 90 miles (135 km by 140 km). Re-entry was expected between 11:45 p.m. Friday, Sept. 23, and 12:45 a.m., Sept. 24, Eastern Daylight Time (3:45 a.m. to 4:45 a.m. GMT). During that time period, the satellite was passing over Canada and Africa, as well as vast areas of the Pacific, Atlantic and Indian oceans. The risk to public safety was very remote. NASA is working to confirm the re-entry location and time and will provide an update shortly.

Nuova previsione con rientro sud Oceano Indiano



tratto da http://reentrynews.aero.org/1991063b.html

sempre da prendere comunque con cautela e da ri-verificare

Edgar

giovedì 22 settembre 2011

Phishing Lottomatica (22 settembre)

Il phishing Lottomatica continua ad essere molto attivo e questa volta con l'ennesimo sito di redirect gestito da Asset Manager Innova Studio

e con whois

Come gia' evidenziato altre volte, l'elevato numero di siti con file managers utilizzabili da remoto, permettono ai phishers di uploadare i siti clone con uno sforzo minimo, e spesso gli stessi siti compromessi sono usati piu' volte per differenti scopi.

E' infatti il caso di sito con whois israeliano

il cui Asset Manager permette ora di uploadare il clone Lottomatica

mentre agli inizi di settembre lo stesso Asset Manager presente sul sito era stato utilizzato per gestire un redirect a phishing Cariparma

Edgar

Phishing VISA (22 settembre)

Riferimenti tutti .IT per questo phishing VISA di cui vediamo la relativa mail

Si nota la presenza nel messaggio di una immagine .PNG che e' linkata da sito italiano di E-commerce

hostato su

Stesso hoster per il phishing VISA

che e' ospitato su sito di E-commerce compromesso che presenta alcuni interessanti files inclusi oltre ch,e naturalmente, le pagine del clone.

Troviamo infatti questa interfaccia di PHProxy

che parrebbe essere pienamente funzionante visto che permette ad esempio di visualizzare pagine internet con IP di provenienza identico all'IP del sito compromesso

Presente inoltre un mailer

che potrebbe essere stato utilizzato, visto che una analisi degli Headers della mail ricevuta,

presenta come IP di probabile origine del messaggio di phishing lo stesso IP del sito compromesso.


Il clone e' composto dalle consuete pagine che propongono forms di richiesta dati personali

per passare poi a (notare alcuni messaggi in lingua francese cosi' come il pulsante di conferma)

ed infine a questa conferma fake di avvenuto 'aggiornamento' dei dati

che redirige, dopo qualche secondo, sul reale sito VISA in lingua italiana.


Edgar