martedì 28 febbraio 2012

Furto di credenziali di accesso a servizi online di WebMail attraverso dominio .IT compromesso (28 febbraio)

Il furto di credenziali di accesso a servizi di WebMail e' molto diffuso in rete ed avviene, di solito, tramite pagine di login fasullo ad uno dei tanti servizi presenti on-line.

A volte,come nel caso odierno si cerca di rendere la falsa pagina di login, piu' 'neutra' possibile specificando in dettaglio differenti servizi di web mail utilizzabili per l'accesso e rendendo cosi' il target di utenti WebMail Internet il piu' ampio possibile.

E' il caso di questa pagina di login

ospitata su sito IT compromesso. con whois


Il dominio IT pur creato da tempo

parrebbe essere sempre in attesa di una messa on-line dei suoi contenuti, visto che la home presenta la consueta pagina di default visibile per siti non ancora attivi.

Come si nota, la pagina di fake login inclusa,

presenta i loghi dei piu' diffusi servizi di WebMail (anche alcuni servizi che comunque propongono l'uso di una propria WebMail) cercando di rendere credibile il piu' elevato numero possibile di WebMail supportate.

I phishers hanno approfittato del dominio per inserire al suo interno diversi folders tutti con la medesima pagina di fake login e questo per avere piu' indirizzi web che puntano al fake login WebMail e questo anche per contrastare eventuali blacklist.

Una analisi dei contenuti rivela pure, nel folder principale, la presenza di un codice di mailer

probabilmente utilizzato nell'invio dello spam legato al falso login a WebMail.

Edgar

lunedì 27 febbraio 2012

Ritorna dopo qualche giorno lo spam pericoloso con links in mail a files zip: Info.zip – Invoice.zip – Dettagli.zip (27 febbraio)


Circa una settimana fa segnalavo in rete un massiccio invio di mails di spam con link files in formato zip contenenti malware

Si trattava di messaggi email in italiano e link a siti compromessi, quasi tutti su dominio IT ma differenti hosters che proponevano il download del ben noto file zip contenente fake .doc o .pdf ma in realta' eseguibile con doppia estensione camuffato da lunga serie di caratteri underscore nel nome del file (screenshot attuale)


A partire da questa mattina (ora thai ( - 6 ore per l'Italia)) monitorando alcune mailing list italiane si vedeva la nuova comparsa di spam con una grande varieta' di messaggi e link a file zip.

Ecco alcuni esempi:

e

e

C'e' da rilevare che i testi dei messaggi sono scritti in un italiano dai contenuti al limite del comico.... come s nota da questo breve report di vari testi presenti

Quello che si nota e' anche la presenza, oltre a testi in lingua italiana, di alcuni messaggi in inglese, ma sempre probabilmente rivolti ad utenza italiana.

ed anche



Sia l'oggetto del messaggio in lingua italiana, ma anche il percorso al file zip sul sito compromesso che presenta un subfolder ../IT/... fanno pensare che si tratti di spam diretto ad utenti IT.

Da notare che una analisi VT degli allegati a queste mails dal lungo messaggio in inglese mostra un estremamente basso riconoscimento del malware

mentre le altre mail (con oggetto e testo IT) presentano quasi tutte un file Info.zip dal riconoscimento VT di circa la meta' dei software AV presenti.

Edgar

giovedì 23 febbraio 2012

Quando il phishing si fa in 10. Un clone di sito USA di rimborso tasse che propone contemporaneamente 10 differenti cloni ed ospitato su sito .IT

Gia' visto in passato, questo particolare genere di phishing, cerca di colpire il maggior numero di utenti (in questo caso USA) attraverso lo stratagemma del fake sito di rimborso tasse.

Si tratta di azione di phishing diretta ad utenza del sito USA IRS ( Internal Revenue Service) e che vede coinvolte ben 10 differenti banche di cui sono riprodotti i loghi nella homepage clone con relativi links alle singole pagine fake di acquisizione dati

Il phishing viene ospitato su sito .IT di hotel italiano, che presenta gia' dal folder gallery segni di una passata azione di hacking

Questo un dettaglio della struttura del clone in questione

che permette di individuare sia il subfolder che tramite una lunga path ospita i cloni

ma anche il kit di phishing zippato

(notare come sia folder che kit mostrino date attuali)

Il kit conferma essere il sorgente dell'attuale azione di phishing


ed in dettaglio per ogni banca abbiamo la relativa pagina di acquisizione dati

dal consueto layout

La struttura dei folders osservata nel kit e' riprodotta tale e quale sul sito compromesso come si nota da questo screenshot

Indubbiamente si tratta di un phishing che attraverso l'ampia scelta di 10 diverse banche proposte dal clone presenta un target di utenza vasto e che potrebbe permettere ai phishers di acquisire parecchie credenziali e dati personali.

Edgar

mercoledì 22 febbraio 2012

Spam pericoloso attraverso messaggi email in italiano e link a malware. Nuova distribuzione ed ulteriori aggiornamenti (22 febbraio)

Anche nella giornata di oggi, 22 febbraio, parrebbero essere attivi alcuni links che propongono malware sotto la ormai ben nota forma di file .zip contenente fake doc o pdf.

Ci sono comunque diversi particolari che differenziano la distribuzione attuale da quella abbastanza estesa della giornata di ieri.

Ecco una attuale segnalazione online di mail di spam

contenente un messaggio dal testo ancora piu' ridotto rispetto a quelli precedenti e che, tra l'altro, non riporta piu' alcun riferimento a 'Monte Biz' come accadeva ieri.

Il sito compromesso che ospita il malware presenta whois IT

e questa volta, nel medesimo folder incluso, troviamo tutti e due i files ossia Dettagli.zip e Confermata.zip.

Scaricando gli zip ed analizzando gli headers,

,se riteniamo attendibile il timestamp visualizzato, possiamo anche rilevare che gli stessi parrebbero essere stati uploadati sul sito compromesso nella serata di ieri ed entrambi allo stesso momento.
Inoltre una analisi dei codici di checksum mostra che, pur con nome identico ai precedenti zip, i valori sono diversi e quindi naturalmente anche i contenuti.

La riprova e' che verificando attraverso VT la risposta ai software AV abbiamo sempre 15 positivi come ieri ma alcuni differenti software attivi ed altri che ora non rivelano piu' il file malware (evidenziati in rosso):

Ecco un odierno report VT

confrontato con quello di ieri 21/2

Parrebbe quindi trattarsi di diversa distribuzione malware comunque probabilmente sempre legate a quella vista ieri.

Edgar

martedì 21 febbraio 2012

Confermata.zip e Dettagli.zip - Spam pericoloso attraverso messaggi email in italiano e link a malware. Nuova distribuzione. Aggiornamenti (21 febbr.)

Poche righe per un aggiornamento sull'odierna distribuzione di spam con mail che presentano link a file malware in formato zip..

Confermata.zip e Dettagli.zip sono i due nomi di file zip contenenti un eseguibile e che parrebbero essere apparsi nel maggior numero di mail di spam in circolazione oggi.

Sia dal log del blog che mostra un evidente picco di traffico odierno con la maggior parte delle visite effettuate da parte di utenti internet alla ricerca di info sul malware

sia da segnalazione sul db del blog

che infine da mails ricevute anche direttamente e non solo da quelle rilevate questa mattina su alcune mailing list italiane

appare evidente come ci sia stata un buona diffusione dello spam pericoloso.

Al momento, fortunatamente, un discreto numero di siti compromessi che presentavano incluso il file zip risultano bonificati.

Di contro ad ormai parecchie ore dalla sua comparsa, il riconoscimento VT del file zip contenente il malware e' rimasto ai numeri di questa mattina se si esclude un nuovo software che individua il file come pericoloso

Questo un attuale report VT.(evidenziato il software che si aggiunge a quelli del report di questa mattina (ora thai))


Visti i numerosi accessi al blog di utenti internet alla probabile ricerca di chiarimenti su questo attuale spam pericoloso, ricordo che il problema di venire colpiti da questo specifico malware esiste solo per chi, una volta aperto il messaggio mail, cliccasse sul link presente, scaricasse il file zip e lo lanciasse, (cliccando sul contenuto estratto, ossia il falso doc o pdf in realta' file .exe (eseguibile)).

Per chi avesse solo aperto la mail e visionato il messaggio non esiste alcun problema di sorta trattandosi di un semplice link.

Edgar

Spam pericoloso attraverso messaggi email in italiano e link a malware. Nuova distribuzione.(21 febbraio)

Ormai da meta' del 2011, siamo abituati a vedere un particolare spam malware che, ad intervalli abbastanza regolari di qualche settima, torna ad essere presente in rete.
E' infatti nuovamente attiva da qualche ora una nuova distribuzione di mail si spam con presenza di link a malware.(link a file zip contenente eseguibile pericoloso)
Monitorando alcune mailing list italiane e' possibile rilevare attualmente, una serie di messaggi mail come vediamo da questi screenshots

e

ed anche

Si tratta di messaggi mail dal layout gia' visto parecchie volte in passato e che presentano link a file zip ospitato su alcuni siti IT compromessi.
Da notare che ritorna nel testo di alcuni messaggi un riferimento a “Monte BIZ” , cosa gia' rilevata a meta' agosto dello scorso anno.
Il sistema utilizzato per mascherare l'eseguibile malware e' il consueto uso di una lunga sequenza di caratteri underscore che, se la visualizzazione del nome del file avviene in finestra o colonna di dimensioni ridotte, non permette di osservare la reale estensione .exe del file.

Come altre volte i siti compromessi che ospitano il malware si trovano su differenti IP di hosters IT senza che ci sia una particolare evidenza di un hoster piu' colpito di altri.

Ecco alcuni IP rilevati

e

e

Il file eseguibile mostra come sempre un riconoscimento che, almeno nelle prime ore dall'inizio dello spam , vede una percentuale abbastanza bassa di positivi.

Considerato anche che, come visto, alcuni software Av potrebbero non riconoscere il malware, vale in questi casi la regola ben nota di evitare di seguire links in mails di dubbia provenienza e contenuti, ed , in ogni caso, di evitare il download ed il 'run' sul PC di files di cui non si e' assolutamente certi del loro contenuto.

In aggiunta a questo, una scansione del fake doc o pdf, con Virus Total, anche se non dara' la certezza assoluta sui contenuti pericolosi, potra' comunque rivelare, nella maggior parte dei casi, almeno qualche software Av che individua il file come di dubbia affidabilita' e quindi da non eseguire.

Edgar

sabato 18 febbraio 2012

Phishing – report settimanale (18 febbraio)

Durante il periodo 13 – 18 febbraio abbiamo assistito al consueto phishing sviluppatosi con le modalita' conosciute di redirect generalmente inclusi in siti legittimi sfruttando differenti vulnerabilita' e di cloni ospitati in buona parte su servizi di free web hosting o di hosting a basso costo con domini creati allo scopo.

Particolare e' stato, in un caso, il ritorno all'uso di “easy content file manager” (qui uno screenshot di un passato utilizzo)

per gestire due diversi redirects a cloni.

Interessante anche l'implementazione di un codice di redirect analizzato che si e' dimostrato leggermente diverso dal solito.

I codici di redirect si limitano, in genere, a puntare al sito clone ospitato su differente dominio ma ecco il source di questo caso particolare

Come si nota viene, prima del redirect, aggiornato, nello stesso folder che ospita il codice, un file “status.txt” che riporta IP , data e ora di chi accede al phishing tramite appunto dal link in mail.

Si tratta comunque di un report che puo' servire ai phishers a scopo 'statistico' per conoscere l'affidabilita' delle mails inviate riguardo ad un target di utenza specifica per un determinato paese, in quanto non c'e' nessun collegamento tra IP e user che accede, e quindi non ci possono essere filtri collegati al singolo login. ( a meno di non confrontare il time dell' eventuale login di phisihng ed i dati acquisiti)
Al limite ci potrebbe essere un filtro (non e' questo il caso ma succede) per evitare il login al clone da parte di utente internet non del paese dove risiede l'obbiettivo del phishing.

C'e comunque anche da sottolineare che,di solito, al momento del fake login sul sito clone di phishing, vengono quasi sempre acquisiti anche gli IP associandoli ai dati personali eventualmente catturati, rendendo possibile ai phishers escludere provenienze di users considerati non interessanti.

Edgar

Ancora malware distribuito da forum IT (18 febbraio)

Poche righe per evidenziare come continui ben supportata la campagna di distribuzione di malware attraverso posts fake su forum IT.

La cosa interessante, che dimostra come si tratti di una 'distribuzione' tuttora attiva e',oltre al fatto che i post presentano data attuale (ecco uno screenshot)

anche il nullo o quasi riconoscimento da parte dei software AV del file eseguibile che viene proposto e fatto passare per setup di flash player.

Pur con tutti i limiti di una scansione on-line on-demand quale quella di Virus Totale ecco l'attuale report

che dimostra come solo 2 software evidenzino il contenuto del file come pericoloso.

La distribuzione avviene, come visto gia' in precedenza, attraverso questo fake player dal layout ben curato

e che e' hostato su server

Questa invece l pagina che linka al player

mentre qui vediamo la homepage del sito che ospita il fake player,

e che mostra un diverso layout gia' molto noto , sempre di falso sito di filmati porno con relativi links a download malware.

Edgar