mercoledì 30 novembre 2011

'L'intrepido viaggio di Topolino' come phishing Unicredit Banca. Aggiornamenti (30 novembre)

Ancora un'altra segnalazione in data odierna, sul “DB segnalazioni phishing del blog” di una mail collegata a fake sito che tenta di sottrarre credenziali di carta di credito ai clienti di Unicredit Banca.


Come si nota dai dettagli abbiamo sempre la mail con la segnalazione della vincita al concorso Unicredit con i noti dettagli riferiti sia al biglietto aereo che al pernottamento in hotel Disneyland.

Quello che cambia e' l'indirizzo del clone che vede comunque sempre hosting sullo stesso IP turco di ieri.

Stessa struttura anche per i folders che ospitano il phishing con la differenza che il file contenente gli indirizzi mail probabilmente utilizzati dai phishers, presenta data diversa ed attuale rispetto a quello rilevato sul precedente clone:

Edgar

Phishing Lottomatica (30 novembre)


Nuovo phishing Lottomatica segnalato da un lettore del blog e che vede l'utilizzo di server USA per hostare il clone.

Come s nota dagli screenshot anche questa volta viene utilizzata la possibilita' di creare URL ingannevoli per gli indirizzi del clone.

Le pagine fake sono infatti visualizzabili con indirizzo che presenta una stringa di caratteri qualsiasi

come visto gia' altre volte in simili casi di phishing

Da notare come i dati richiesti siano numerosi

e poi

e si venga poi rediretti, come gia' accaduto altre volte, su una reale pagina Lottomatica che informa della messa online di un nuovo sito.

Edgar

martedì 29 novembre 2011

Continua 'L'intrepido viaggio di Topolino' come phishing Unicredit Banca (29 novembre)

Nuova segnalazione in data odierna, sul “DB segnalazioni phishing del blog” di una mail collegata a fake sito che tenta di sottrarre credenziali di carta di credito ai clienti di Unicredit Banca.

Come si nota dai dettagli del record relativo, vediamo il testo mail che informa della 'fake' vincita del concorso Unicredit con dettagli riferiti sia al biglietto aereo che al pernottamento in hotel Disneyland. (maggiori dettagli qui)

Il clone risulta hostato sempre su sito con whois turco

anche se con IP diverso dalla precedente segnalazione

La struttura del sito mostra anche la presenza di un file, probabile parte di una lista di indirizzi mail utilizzata dai phishers per la spedizione dei messaggi tramite mailer

In dettaglio si tratta solo, si fa per dire, di 35.000 indirizzi mail di utenti internet.
Ricordo che e' recentemente capitato di vedere files con elenchi di piu' di mezzo milione di indirizzi mail.

Come si nota dalle date presenti il folder aggiornato a data attuale e' quello relativo al 'concorso ', cosa che vediamo confermata esaminando il relativo subfolder.

Il clone presenta caratteristiche come quelle gia' viste in questo recente post, con le consuete pagine di acquisizione credenziali, ed a cui rimando per maggiori dettagli.

Edgar

Phishing ai danni di banche IT a diffusione prevalentemente regionale (28 – 29 novembre)

Segnalato on line da ieri, ma praticamente mai attivo in quanto contrastato efficacemente dall'azione della banca, questo phishing nuovamente ai danni di Banca Valsabbina

ad opera dei soliti phishers ben noti da tempo .

Quello che e' interessante e' il tentativo di utilizzare siti compromessi tramite Innova Studio Asset Manager

ospitati su IP e servers coinvolti in azioni di phishing datate piu' di un anno fa.

Il sito attuale che ha ospitato per breve tempo il clone e' hostato su server con IP thai


che piu' di un anno fa hostava un altro sito thai coinvolto in una azione di phishing ai danni di Cariparma - Credit Agricole

Lo stesso IP lo ritroviamo poi ad inizio 2011 per un clone Banca CR Asti anch'esso supportato da sito con Innova Studio A.M. e naturalmente sempre thai.

In pratica, succede spesso, che un gruppo di siti su medesimo server sfrutti , magari anche perche' sviluppato dalla stessa azienda, Innova Studio Asset Manager od altro CMS utilizzabile per includere al suo interno il clone della banca o il redirect a clone .
Per i phishers e' quindi molto semplice archiviare parecchi indirizzi di siti utilizzabili per future azioni, tutti in questo caso sviluppati con Innova Studio A.M., per poi usarli a supporto del phishing, come e' successo appunto nel caso di ieri.

Edgar

Continua l'intensa azione di phishing ai danni di CartaSi (28 novembre)

Tra le varie tipologie di phishing ai danni di CartaSi vediamo attivo, tra i tanti attacchi attuali, un clone che sfrutta ancora una volta un sito fake creato in data odierna su noto servizio di hosting USA

utilizzato spesso a supporto di phishing ai danni di banche IT.

Come si vede, e' stato creato un indirizzo di pagina ingannevole che contrasta comunque con il layout proposto dal clone.

A fronte infatti di url che potrebbe apparire come relativa ad un concorso CartaSi , troviamo una pagina clone di login che si rivela assolutamente datata con riferimenti all'anno 2010 !.

Ben altra cosa erano le pagine clone CartaSi viste ad eesmpio ieri,


con immagini e testo aggiornati sia come date che come info proposte.

In ogni caso una analisi dei log relativi a chi si e' connesso al sito rivela piu' di 500 IP numbers differenti e nella maggior parte italiani e dimostrazione dell'alto numero di utenti internet coinvolti ed un probabile elevato numero di mails di phishing inviate.

Edgar

lunedì 28 novembre 2011

Ancora phishing CartaSi (28 novembre)

Segnalato in rete un nuovo phishing CartaSi che dimostra come la nota azienda sia, almeno al momento, tra le piu' colpite da azioni di phishing.

Questa la fake pagina di login

da cui si passa alla richiesta di n.carta di credito


Quello che si nota negli ultimi mesi, almeno dalle mails ricevute, e' la tendenza dei phishers piu' che sul tentativo di acquisire codici di accesso a conti bancari online, a propporre, sempre di piu', pagine clone che tentano di sottrarre credenziali di carta di credito.
Sicuramente la diffusione di dispositivi OTP (password di accesso al conto bancario generate in maniera temporanea) o di conferma operazioni online sul conto bancario tramite telefono hanno ridotto le possibilita' per i phishers di venire in possesso di codici di accesso.
Usando invece siti o pagine clone predisposti per acquisire numeri di carta di credito e relativi dati, i phishers, possono poi utilizzare quanto 'raccolto' per, ed in tempo praticamente reale ,utilizzare siti come quello descritto da Denis Frati in un suo recente post.

Tornando al caso attuale CartaSi il sito compromesso che effettua il redirect, anche se presenta dominio .IN (India) mostra whois di server USA legato ad E-Commerce

Il codice redirige poi a sito con whois australiano sviluppato in WordPress e che mostra i soliti segni di attacco come ad esempio questa pagina di hacking

e diversi files di shell php

e

Sono rilevabili sul sito anche alcuni KITS di phishing

sia in formato zip che tgz ed i cui contenuti sono praticamente identici per i due files (zip e tgz) tranne che per le date dei files inclusi.

Si notano date recenti

per i codici php che effettuano l'acquisizione delle credenziali eventualmente sottratte

con indirizzi mail identici a quelli presenti sui php messi ON-line dal phisher

Anche i files immagine PNG relativi al layout del clone

ed

hanno timestamp recente.

Una analisi del log relativo alle ultime connessioni sul server mostra che gli accessi recenti sono nella maggior parte legati ad ip italiani, cosa normale visto la data attuale dell'azione di phishing

Come gia' detto il clone mostra layout aggiornato con info relative ad eventi recenti

Edgar

sabato 26 novembre 2011

Segnalazioni phishing sul DB del blog (26 novembre)

Ricevo due segnalazioni di phishing Unicredit Banca da parte di un lettore del blog, che ringrazio


e di cui una richiama le stesse URL di redirect e phishing gia' viste in questo post

L'altra segnalazione presenta diverso sito di redirect e di hosting ma essenzialmente ricalca la medesima struttura di quella precedente.(solo differente nome di folder)

Prova ne e' che anche in questo caso abbiamo la presenza del file di testo contenente le credenziali sottratte dal phishing con l'immancabile primo IP attribuibile a

Edgar

Ancora phishing CartaSi (26 novembre)

Ricevuta mail di phishing CartaSi che utilizza come hosting del clone lo stesso dominio gia' analizzato in questo post. (cambia solo il percorso al codice di phishing)

Interessanti anche gli stessi headers in mail del caso del 23 novembre che vedono coinvolti (caso particolare) solo IP italiani.

Il layout ricorda quello gia' visto in precedenza, mentre il link in mail che punta al sito di redirect propone un nuovo sito compromesso con whois USA anche se dominio .IN (Internet country code top-level domain (ccTLD) for India.)

Una analisi delle statistiche degli accessi al sito in questione mostra un picco di traffico gia' nel mese di settembre 2011 che farebbe pensare anche ad un possibile precedente hosting di phishing o di redirect a phishing.

In effetti una analisi approfondita dei contenuti rivela sia l'attuale (ed uno leggermente piu' datato) codice di redirect

ma anche files legati a clone CartaSi

al messaggio mail di phishing

e con timestamp dei files proprio al mese di settembre 2011

Sono inoltre ospitati sul sito anche codici di shells e di mailer

ed altri interessanti files legati al phishing attuale e passato.

Al momento il sito IT che gia' il 23 novembre hostava il clone CartaSi

continua ad ospitare una copia attiva del phishing anche se con percorso modificato rispetto ai giorni scorsi (screenshot relativo al phishing del 23 novembre)

Edgar

venerdì 25 novembre 2011

Cronologia phishing CR Bolzano rilevata da 'user forum' Altervista (25 novembre)

Come evidenziato nel precedente post e' di nuovo attivo un attacco di phishing a CR Bolzano portato dai 'soliti' personaggi che in preferenza utilizzano domini usa e getta creati sfruttando il servizio free di Altervista.

Considerato che al momento della creazione del dominio free si attiva anche una pagina di forum collegata al medesimo user account e' interessante vere come le stesse pagine del forum personale propongano in pratica una cronologia con i successivi orari di attivazione dei domini di phishing

Con orari progressivi abbiamo

che passa poi a

ed attualmente


Edgar

Distribuzione malware tramite spam con allegato pericoloso (25 novembre)

Ricevuta nel pomeriggio una mail di spam che appartiene al vasto gruppo di messaggi mails con allegato eseguibile.

Il testo e' in un italiano non troppo corretto ed informa di un addebito di 90 euro sula nostra carta di credito.

Il messaggio presenta anche un link sul quale si invita a cliccare per avere maggiori dettagli sull'operazione bancaria.

In realta' il collegamento punta a file compresso hostato su dominio USA e contente un eseguibile mascherato dalla lunga serie di caratteri underscore presenti nel nome del file.

Come gia' visto parecchie volte in passato se il programma che 'unzippa' il file viene lanciato in finestra dalle dimensioni ridotte, l'estensione .exe del file risulta nascosta dalla lunga serie di caratteri underscore nel nome del file

Con la finestra del programma ridimensionata appare invece la reale natura del file eseguibile con estensione .exe

Fortunatamente il codice parrebbe essere ben riconosciuto dai piu' diffusi software Av in commercio.

Come curiosita' si nota tra gli headers in mail anche un IP italiano.

Edgar