domenica 29 gennaio 2012

Distribuzione eseguibili malware attraverso forum IT (29 gennaio)

Su questo post del 24 gennaio veniva analizzata l'ennesima distribuzione malware attraverso posts su forum IT creati solo allo scopo di linkare siti dai contenuti malware sotto forma di fake players video, install di flash player ecc...

Vediamo qualche ulteriore dettaglio aggiornato ad oggi:

Come si nota dalla pagina dell'elenco dei posts viene indicata data odierna (today) che rivela un continuo 'aggiornamento' degli stessi in tempo reale

mentre ecco un tipico layout di uno dei messaggi postati attualmente.

Il link presente punta, tramite redirects al fake player di filmati porno

A conferma dell'attuale stato attivo dell'azione di distribuzione malware notiamo alcune differenze sulla sequenza dei redirects sia con l'uso di snipr.com in sostituzione di tinyurl.com del 24/1

e di google.ru come redirect tramite l'uso di google rispetto a google.com usato la volta scorsa.

Il malware linkato da

si presenta rispetto al 24 gennaio

ancora meno riconosciuto (notare anche differente software AV che rileva il codice pericoloso)

con solo 3 software che evidenziano i contenuti malevoli ( in realta'di 2 aziende, essendo presenti due versioni di software McAfee)


Anche se sono ben noti i limiti dovuti ad una scansione online quale quella di Virus Total che potrebbe avere risposta diversa del software AV quando eseguito sul reale PC dell'utente, rimane il fatto che ci troviamo odi fronte ad un codice malware attualmente non rilevato dai softwares AV e quindi che potrebbe creare qualche problema a chi eseguisse il fake install di flash player sul PC.

Edgar

venerdì 27 gennaio 2012

Phishing ai danni di banche IT a diffusione regionale. Variazioni sul tema. Phishing Lottomatica (26 gennaio)

Nella giornata di ieri abbiamo avuto diversi attacchi di phishing ai danni di differenti banche IT documentati qui.

Di solito, se un sito presenta vulnerabilita' o comunque la possibilita' di uploadare in maniera semplice (vedi es. con l'uso di Asset Manager) contenuti di phishing, lo stesso viene utilizzato a piu' riprese dai phishers.

E' il caso di quello visto ieri che hostava i codici php relativi a phishing C.R. Bolzano, e che adesso ospita un semplice phishing Lottomatica

a cui si viene linkati da questa attuale mail segnalata in rete

Questo un dettaglio della Asset Manager Innova Studio gia' analizzato ieri

mentre qui vediamo il source del semplice codice php presente, che effettua l'invio al phisher dei dati eventualmente sottratti

L'indirizzo mail conferma identico personaggio rispetto a quello visto ieri in phishing C.R.Bolzano

Una volta acquisiti i dati si viene rediretti a questa reale pagina Lottomatica


Edgar

giovedì 26 gennaio 2012

Phishing ai danni di banche IT a diffusione regionale: Banca Popolare dell'Emilia Romagna , C.R. Bolzano, Banca Valsabbina (26 gennaio)

Nella giornata di ieri abbiamo avuto diversi attacchi di phishing a banche IT diffusione prevalentemente locale o regionale.

Si e' iniziato con un phishing ai danni di Banca Valsabbina rilevato quando erano le prime ore del mattino in Thailandia (quindi notte in Italia) e che e' comunque stato contrastato dalla banca rendendolo praticamente inattivo dopo poche ore.
Da notare come detto phishing pur avendo alcune caratteristiche (vedi es. redirect su Altervista) che lo accomunavano ai soliti di R-team presentasse comunque un redirect al clone che sfruttava sito UK compromesso

ma senza la possibilita' di rilevare l'utilizzo dei soliti files managers comuni in questi casi.

Terminato l'attacco a Valsabbina sempre il medesimo sito di redirect e' passato ad ospitare direttamente un clone C.R. Bolzano (tuttora attivo) che, come rileva anche Denis Frati sul suo blog, presenta pero' forms con i codici di gestione php ospitati su altro sito.
Da notare che, rispetto a quanto illustra Denis Frati sul clone da lui rilevato

parrebbe adesso esserci diverso timestamp sui files htm (da 10:34 a 15:05)


e il link al sito che ospita i php di acquisizione credenziali eventualmente sottratte sia ora differente (si tratta di comune modifica dei redirects attuata dai phishers per evitare blacklisting ecc.....)


con un whois

Una analisi del sito compromesso che ospita i codici php ritorna a proporre un Asset Manager Innova Studio

che evidenzia la presenza , oltre ai php visti, anche di mailer

Questo utilizzo di Asset Manager ricorda nuovamente gli attacchi R-Team ben noti ma una analisi dei sorgenti php

ci rivela indirizzo mail differente dall'usuale R-Team almeno rispetto a recenti attacchi di phishing, cosa che fa quindi rimanere qualche dubbio sugli attuali gestori degli stessi.

Per di piu' CR Bolzano e' coinvolta, questa mattina 26 gennaio (ora Thai) in altro attacco

che si sviluppa tramite sito compromesso USA, di Hotel, che punta tramite redirect a clone hostato su dominio creato in data odierna

attraverso il 'solito' servizio di hosting usato molto in passato da r-team

In questo caso i form di login e richiesta pin hanno i codici php direttamente linkati nel medesimo folder che usa il clone

C'e' comunque da rilevare che comparando i due sources htm sia del clone su sito UK che quello su hosting USA le differenze sono minime

ed abbiamo lo stesso nome di file tanto da far pensare a stesso kit di phishing se non, ad origine comune dei due attacchi.

Per terminare abbiamo pure attivo al momento un phishing ai danni di Banca Popolare dell'Emilia Romagna che sfrutta hosting su sito USA compromesso (sito di E-Commerce) gia' analizzato in precedente post

L'unica differenza che, dal messaggio mail segnalato in rete, parrebbe esserci adesso link diretto al clone, senza che venga sfruttato il redirect intermedio visto in precedenza.

Questo il clone BPER

Edgar

martedì 24 gennaio 2012

Distribuzione eseguibili malware attraverso forum IT (24 gennaio)

Anche se e' da qualche tempo che non viene trattato dal blog, l'argomento relativo a links a falsi siti di filmati online (quasi sempre di genere porno) utilizzando post creati allo scopo su forum poco o per niente amministrati, e' sempre di attualita'

Questo un odierno forum IT dove notiamo una lunga sequenza di post aggiornati in tempo reale (in media dai 3 ai 5 al minuto) e comprendenti differenti links a fake sito di filmati porno

Ecco un tipico post con immagine cliccabile

e lunga serie di termini relativi al medesimo argomento porno trattato con lo scopo di creare il maggior numero di link attraverso una ricerca in rete.

E' interessante analizzare il link proposto con Fiddler ottenedo

con un primo redirect utilizzando tinyurl seguito a sua volta da un redirect gestito attraverso URL che punta a Google.
Si tratta di un tipico caso di 'Google Search URL Redirection' gai visto in passato.
A sua volta verremo rediretti, senza che appaia alcun riferimento a Google nel browser, ad altro sito che successivamente puntera' ad uno dei tanti layout di gestione filmati video in parte gia' visti altre volte

e

ma anche con differente presentazione del fake player che parrebbe essere aggiornata.

da cui

Naturalmente sara' necessario scaricare il programma di installazione del FAKE player flash che in realta' dimostrera' essere


Questo un whois del sito di falsi filmati:

Da notare come in questi casi sfruttando differenti e multipli redirect, e post su forum pubblicati ad intervalli di tempo molto breve, chi vuole distribuire malware disponga di tutto l'occorrente per proporre eseguibili non facilmente individuabili dai sofwares AV e con possibilita' di utilizzare indirizzi web continuamente variati che rendono difficoltoso anche un blacklisting degli stessi.

Edgar

'Il vostro ordine di riferimento e' ...... '. Aggiornamenti (24 gennaio)

Chi segue il blog ricordera' certamente la segnalazione del 21 gennaio relativa a fake documento allegato a messaggio mail.
Tale documento, fatto passare per pdf , in realta' mostrava essere eseguibile malware.

Da segnalare che una analisi Virus Total il 21/1 mostrava riconoscimento malware praticamente nullo sia per il file .zip che per quello estratto.

Attualmente, vediamo come, sia il file zip

che il file estratto .exe

presentano un riconoscimento che incomincia ad essere significativo anche se alcuni noti AV parrebbero ancora non rilevare i contenuti pericolosi.

Come gia' visto altre volte ci sono pure alcune differenze tra risposta AV su file zip e su file estratto exe

Da ricordare, anche, gli eventuali limiti di una scansione online come quella VT, con possibile risposta ai contenuti pericolosi da parte dei software AV che attualmente non individuano il malware, che potrebbero pero' allertare quando il fake pdf venisse eseguito sul PC .

Edgar

Ancora phishing CartaSi (24 gennaio)

Ancora mail di phishing CartaSi


con allegato form

che presenta link a codice php

hostato su sito sviluppato in WordPress con whois

e che rivela anche la presenza online di file credenziali sottratte a chi fosse caduto nel tranello della falsa mail

Edgar

lunedì 23 gennaio 2012

Phishing ai danni di banche IT a diffusione regionale: Banca Popolare dell'Emilia Romagna (23 gennaio)

Ritorna il phishing Banca Popolare dell'Emilia Romagna tramite solita mail fake segnalata in rete e che sfrutta hosting su sito USA compromesso (sito di E-Commerce)

Vediamo brevemente (considerato che oggi e' capodanno (cinese) in Thailadia e giorno festivo per molti) qualche dettaglio:

Questo il clone BPER

mentre una occhiata al kit di phishing

mostra data attuale

per il php che esegue l'invio delle credenziali eventualmente sottratte

Stessa data attuale nel subfolder files pagina clone di login relativamente al file thumbnail delle immagini

L'indirizzo mail a cui vengono inviati i dati sottratti e' gia' stato rilevato, ma solo come parte del nome presente, in phishing Cariparma di inizio 2011 e, cosa piu' interessante in caso BPER nell' aprile 2011

Edgar

domenica 22 gennaio 2012

Phishing PayPal (22 gennaio)

Ancora phishing Paypal con questa mail

dal layout accurato e dal logo in lingua francese, cosi come alcuni testi delle pagine clone e di variabili del codice php di invio credenziali sottratte, segno di possibile origine da sorgente di phishing Paypal in lingua francese.

Il link in mail punta a redirect

hostato su sito USA compromesso che propone anche diverse shells php incluse in folder utilizzato sia per hostare il redirect a clone Paypal IT che ad altro clone PayPal in lingua tedesca.(notate data odierna per il redirect a clone PayPal IT)


Il redirect punta a sito con whois

con evidenti segni di compromissione come la presenza di diverse shells php.

Sempre incluso nello stesso sito troviamo il clone

ed il kit di phishing PayPal

Un confronto con il precedente phishing PayPal descritto qualche giorno fa

mostra evidenti analogie sia con la struttura del sito copia che con i nomi dei codici che gestiscono il phishing.(es file BiMAr.php)

L'unica sostanziale differenza e' l'indirizzo mail a cui vengono inviati i dati eventualmente acquisiti e che consiste questa volta in ben tre nominativi

Da notare come si cerchi sempre di acquisire il maggior numero di dati compreso una ampia scelta di differenti gestori di carte di credito.

Edgar