Il poco tempo da dedicare al blog mi costringe a suddividere in due parti questo post, considerata anche la grande quantita' di dati acquisiti durante l'analisi del sito IT compromesso.
Si tratta di un caso che mostra ben evidente come a volte ci sia una stretta relazione tra azioni di hacking, distribuzione malware, phishing ecc..........
Ecco l'url segnalata da sito che si occupa di catalogare links a siti con incluso codice malware di vario genere, falsi AV, links a malware ecc...
Come si nota la segnalazione indica una URL di sito IT hostato su
che analizzato ci mostrera' ospitare il file malware indicato ma anche hostare un clone di phishing ai danni di banca non italiana, una notevole serie di shells php, mailers, pagina di hacking ecc.....
Le cose piu' evidenti esaminando l'URL segnalata sono sia la presenza di un codice php denominato boleto.php (chiaramente il nome non fa riferimento al noto gruppo di funghi …. commestibili e non, ma piuttosto si riferisce al termine in lingua spagnola che tradotto in italiano significa ticket, biglietto..ecc....) che il fatto che siamo in presenza di sito sviluppato in WordPress.
Questo fa pensare che potrebbe essere stata utilizzata, come gia' visto in casi di hacking, una delle note vulnerabilita' WP tuttora attive su siti che usano versioni non aggiornate della nota piattaforma di CMS e "personal publishing".
Una analisi dei contenuti del sito mostra infatti il probabile uso di una ben nota vulnerabilita' WP denominata Timthumb Vulnerability che permette l'upload di contenuti malevoli da remoto ed in maniera abbastanza semplice.
Verificando alcuni dettagli in rete su detta vulnerabilita' si scopre che la stessa utilizza di solito, come destinazione dei files uploadati un nome di folder ed una path ben definita e che troviamo anche presente sull'attuale sito IT compromesso:
Si tratta di folder con contenuti costituiti nella maggior parte da files con nome particolare formato da sequenza di caratteri alfanumerici, ma anche di shells php in grande numero, codici di mailers ecc....
Le date dei file vanno da un recente 13 aprile
dove troviamo il primo codice di hacking sino a date attuali.
Esaminando il folder parrebbe che in data 13 aprile sia stata uploadata questa pagina di hacking
che mostra tra l'altro codice debolmente offuscato
Di seguito pare che la vulnerabilita' TimThumb sia stata utilizzata parecchie volte per uploadare diversi codici php tra cui shells (numerosi files) ma anche mailers ecc.....
Chiaramente a parte la prima azione di hacking, chi ha utilizzato ed utilizza ancora la vulnerabilita' , non si limita a proporre semplici codici html con qualche scritta di hacking, ma probabilmente la ha utilizzata per gestire questo clone di phishing
appartenente a Banca delle Barbados.
Si tratta della CIBC FirstCaribbean International Bank tra l'altro azienda mai vista dal sottoscritto in casi di phishing analizzati in passato.
Naturalmente il clone viene accompagnato dal consueto codice PHP che si occupa dell'invio al phisher delle credenziali eventualmente sottratte.
Come si vede dai timestamp dei files presenti nel folder che ospita il clone le date sono molto recenti e confermano il sito di phishing come attualmente attivo.
Ovviamente dato che eravamo partiti da una segnalazione di file malware vedremo nella prossima parte del post cosa ci riservera' l'analisi del file boleto.php ed in particolare il sistema utilizzato per generare un file eseguibile di tipo .SCR partendo da un codice malevolo camuffato da immagine 'smile' in fake formato gif.
(continua)
Edgar
Ecco l'url segnalata da sito che si occupa di catalogare links a siti con incluso codice malware di vario genere, falsi AV, links a malware ecc...
Come si nota la segnalazione indica una URL di sito IT hostato su
che analizzato ci mostrera' ospitare il file malware indicato ma anche hostare un clone di phishing ai danni di banca non italiana, una notevole serie di shells php, mailers, pagina di hacking ecc.....Le cose piu' evidenti esaminando l'URL segnalata sono sia la presenza di un codice php denominato boleto.php (chiaramente il nome non fa riferimento al noto gruppo di funghi …. commestibili e non, ma piuttosto si riferisce al termine in lingua spagnola che tradotto in italiano significa ticket, biglietto..ecc....) che il fatto che siamo in presenza di sito sviluppato in WordPress.
Questo fa pensare che potrebbe essere stata utilizzata, come gia' visto in casi di hacking, una delle note vulnerabilita' WP tuttora attive su siti che usano versioni non aggiornate della nota piattaforma di CMS e "personal publishing".
Una analisi dei contenuti del sito mostra infatti il probabile uso di una ben nota vulnerabilita' WP denominata Timthumb Vulnerability che permette l'upload di contenuti malevoli da remoto ed in maniera abbastanza semplice.
Verificando alcuni dettagli in rete su detta vulnerabilita' si scopre che la stessa utilizza di solito, come destinazione dei files uploadati un nome di folder ed una path ben definita e che troviamo anche presente sull'attuale sito IT compromesso:
Si tratta di folder con contenuti costituiti nella maggior parte da files con nome particolare formato da sequenza di caratteri alfanumerici, ma anche di shells php in grande numero, codici di mailers ecc....Le date dei file vanno da un recente 13 aprile
dove troviamo il primo codice di hacking sino a date attuali.
Esaminando il folder parrebbe che in data 13 aprile sia stata uploadata questa pagina di hacking
che mostra tra l'altro codice debolmente offuscato
Di seguito pare che la vulnerabilita' TimThumb sia stata utilizzata parecchie volte per uploadare diversi codici php tra cui shells (numerosi files) ma anche mailers ecc.....Chiaramente a parte la prima azione di hacking, chi ha utilizzato ed utilizza ancora la vulnerabilita' , non si limita a proporre semplici codici html con qualche scritta di hacking, ma probabilmente la ha utilizzata per gestire questo clone di phishing
appartenente a Banca delle Barbados.Si tratta della CIBC FirstCaribbean International Bank tra l'altro azienda mai vista dal sottoscritto in casi di phishing analizzati in passato.
Naturalmente il clone viene accompagnato dal consueto codice PHP che si occupa dell'invio al phisher delle credenziali eventualmente sottratte.
Come si vede dai timestamp dei files presenti nel folder che ospita il clone le date sono molto recenti e confermano il sito di phishing come attualmente attivo.
Ovviamente dato che eravamo partiti da una segnalazione di file malware vedremo nella prossima parte del post cosa ci riservera' l'analisi del file boleto.php ed in particolare il sistema utilizzato per generare un file eseguibile di tipo .SCR partendo da un codice malevolo camuffato da immagine 'smile' in fake formato gif.(continua)
Edgar
Nessun commento:
Posta un commento