giovedì 30 agosto 2012

Intenso spam dai contenuti rivolti ad utenza italiana della rete e con la presenza di links ad exploit (30 agosto)

Mentre siamo di fronte ad una probabile nuova 'campagna' di spam con caratteristiche simili a quelle gia' descritte in numerosi post (presenza in molti casi della stringa di caratteri 'Monte Biz' nel testo del messaggio mail), da qualche giorno sembra essersi intensificata anche una distribuzione di spam pericoloso con caratteristiche leggermente diverse.
Si tratta di mails dal breve testo in lingua italiana e non sempre corretto, che presenta anche uno o piu' links a malware non sotto forma di file scaricabile ,come accadeva per i casi 'Monte Biz',  ma come link a serie di redirects che puntano a pagina contente exploits.
La struttura dei messaggi ricalca il ben noto utilizzo di testo che cerca di incuriosire chi ricevesse la mail facendogli cliccare il link malevolo mentre, se la vulnerabilita' interessata dall'exploit e' presente sul pc colpito, potranno esserci download ed esecuzione di malware in maniera automatica.
L'analisi di detti link non e' facile in quanto i siti che ospitano i codici pericolosi sembrano non raggiungibili con IP thai e comunque potrebbero essere volutamente tenuti ON-line per brevi intervalli di tempo e venire sostituiti spesso da differenti e nuovi links ad exploit.

Ecco alcuni dettagli:

Questa una delle mails ricevute 


dove  notiamo un testo che cerca di incuriosire chi ricevesse il messaggio attraverso notizie fasulle ed uso di nomi di servizi di webmail o di providers italiani
Analizzando il link e seguendo  i vari redirects abbiamo


con destinazione finale su url che appare offline
Passando detto indirizzo ad un servizio di analisi malware otteniamo comunque questo risultato


che mostra come su detto sito sia presente un exploit PDF.

Vediamo ora altre 2 delle mails ricevute


e


che anche in questo caso mostrano il link con serie di redirects che puntano al medesimo dominio visto prima


Questa un'altra  interessante mail il cui messaggio sembra composto da parti di testo generato forse attraverso ricerche di testi in rete e comunque ulteriormente 'modificato' prima di venire utilizzato.


Cercando in rete troviamo infatti 


da cui 


che,come si vede, parrebbe avere qualche riferimento con i contenuti del messaggio in mail, anche se alcune parole sono ulteriormente 'modificate'

Notate anche come compaiano nel link, riferimenti a nota azienda italiana.
Una ricerca mostra che il link e' sempre in relazione con il dominio malevolo  visto nei casi precedenti.


Per terminare altri due esempi simili ai precedenti



e


Indubbiamente si tratta di malware la cui distribuzione attraverso links ad exploit potrebbe facilitarne la diffusione in quanto,  come gia' detto, non occorre estrarre da file ZIP (casi Monte Biz) e/o lanciare un eseguibile ma basta un semplice click sul link in mail, per attivare i contenuti malevoli presenti on-line.

Edgar

lunedì 27 agosto 2012

Nuovo spam 'pericoloso' con la solita mail con link a file zip contenente malware. (27 agosto)

Ecco ritornare lo spam malware dalla tipica mail dal breve testo in un italiano ben poco comprensibile  e dal 'solito' link a file in formato compresso contenente eseguibile malware.


Questo il file .zip linkato 


con, ma non e' piu' una novita', l'estensione .exe  mascherata da lunga sequenza di caratteri 'underscore' nel nome del file. (vedi precedenti posts)

Come succede quasi sempre, specialmente nelle prime ore di diffusione della mail , una analisi VT mostra riconoscimento molto basso dei contenuti pericolosi, da parte dei piu' noti softwares AV.


con in dettaglio 


Edgar

Phishing webmail con tentativo di acquisire credenziali di carta di credito (27 agosto)

Nei giorni scorsi abbiamo visto come sia estremamente diffusa la presenza in rete di pagine 'fake' che tentano di acquisire in maniera fraudolenta i codici di accesso a diversi servizi webmail free.

Questo che vediamo ora e' un phishing leggermente piu' complesso in quanto oltre ad interessare ancora un servizio webmail, tra l'altro di noto hoster italiano, sembra essere orientato, nello specifico caso, ad acquisire credenziali di carta di credito.

Ecco uno screenshot del phishing segnalato in rete


con in dettaglio il form di richiesta dati


Un whois punta a


mentre una volta confermati i dati si viene rediretti sul legittimo sito dell'hoster IT.


Come succede sempre piu' spesso abbiamo anche la conferma che i phishers si stanno orientando piu' sull'acquisizione di carta di credenziali di carta di credito che sul semplice furto di credenziali di accesso a conti bancari on-line.

Edgar

venerdì 24 agosto 2012

Webmail phishing. Dettagli (24 agosto)

Continua in maniera estesa la presenza on-line di false pagine di login a webmail che tentano di acquisire le credenziali di accesso (indirizzo email e password).

Ecco due casi rilevati ieri (23/08) 

Il primo mostra una pagina con un notevole numero di loghi di servizi webmail e un form di login che, con il pretesto di abilitare l'accesso ad un sito di “Global Trade & Marketing” chiede l'indirizzo mail e la relativa  password di accesso.


Anche questa volta si cerca di rendere il piu' generico possibile  il form inserendo un gran numero di loghi di servizi webmail per aumentare il numero dei possibili 'utenti' da colpire.
Una volta acquisiti i dati si viene rediretti su sito di cataloghi di immagini free


Il secondo caso presenta questa pagina 


che una volta confermato il fake login, propone ulteriore  pagina dove si informa che e' stato spedito un file alla nostra casella di posta.


E' probabile che si utilizzi il pretesto di invio di un file su attivazione tramite login mail, per giustificare la richiesta della password.
In questo caso tutto il sito fake era ospitato (ora l'account e' stato sospeso) su servizio free in italiano, di web  hosting.


Edgar

lunedì 20 agosto 2012

Creazione ed uso di folders dal nome casuale in maniera automatica per ospitare cloni di phishing (20 agosto)

Analizzando vari siti di phishing si trovano a volte codici php che nella loro pur semplice struttura, permettono ai phishers di rendere meno sensibili al black-listing od al rilevamento da parte di softwares di sicurezza, i cloni online.

Si tratta ad esempio di questo codice php


che compare in un phishing IT.


Esaminando il subfolder che ospita il clone notiamo in realta' decine di subfolders dai nomi 'random'  ognuno dei quali ospita un singolo clone copia e relativi files accessori quali immagini, codici php di invio credenziali acquisite dal form ecc...


La prima cosa a cui si pensa e' che i phishers creino in successione diversi folder dai nomi differenti da mettere on-line ad intervalli piu' o meno lunghi di tempo per evitare il black-listing della url ma l'analisi rivela cosa ben diversa.

Proviamo quindi attraverso l'uso di un server web temporaneo in ambiente Linux ad installare il KIT di phishing acquisito, attiviamo i permessi di scrittura nei vari subfolder coinvolti e simuliamo una serie di accessi al sito clone.


In realta' si puo' vedere come  la creazione dei vari folder sia automaticamente generata dal nostro accesso al sito di phishing. 
In altre parole ogni volta che lanciamo il 'main' file di phishing il codice php in esso contenuto genera un nuovo folder dal nome casuale, ci copia dentro i contenuti originali del folder usato come struttura base ed apre la pagina web clone proponendocela a video.


E' evidente quindi che il grande numero di folders random trovati nell'analisi del sito di phishing sia collegato al numero di visitatori e precisamente ad ogni nuovo visitatore avremo la creazione di  un nuovo folder dal nome random e che ospitera' copia del clone 'base'.


Un ingegnoso metodo di evitare black-listing della url e possibile riconoscimento del phishing attraverso l'analisi della url.



Edgar

sabato 18 agosto 2012

Webmail phishing. Dettagli (18 agosto)

Nel precedente post abbiamo visto un buon numero di layout di pagine di phishing che tentano di acquisire le credenziali di accesso ai piu' diffusi servizi on-line di free web mail.

Esaminiamo ora qualche dettaglio su come si sviluppa un phishing di questo tipo.

Si tratta di questa fake pagina 


associata al logo  di una grande compagnia immobiliare USA denominata REMAX ( Real Estate MAXimum). 
Il logo Remax e' stato utilizzato estesamente per campagne di spam (vedi anche diversi screenshots sul blog) allo scopo di acquisire credenziali di accesso a web-mail.

Il sito sviluppato in WordPress e su cui si trova la pagina fake di login presenta probabile vulnerablita' timthumb 


 che ha permesso l'upload di codici di phishing (KIT) e la creazione della relativa pagina fake di login.


Questo un dettaglio del KIT


con in evidenza alcuni dei contenuti



Edgar

giovedì 16 agosto 2012

Webmail phishing (16 agosto)

Analizzando i reports relativi al phishing attivo online si nota sempre una estesa presenza di pagine web che mostrano un falsi accessi a web mail creati allo scopo di acquisire le credenziali del servizio di posta elettronica.
Anche se di solito il phishing consiste in pagine clone di log a noti servizi di web mail (es.Yahoo)


la tendenza sembrerebbe essere quella di proporre una pagina che mostri differenti loghi di servizi web mail


e questo al chiaro scopo di aumentare le possibilita' che chi visita la pagina cada nel phishing.

Ecco un dettaglio di un report Autoit che raccoglie le segnalazioni di phishing e cattura uno screenshot ed altri dati relativi alla pagina clone quando questa e' attiva online.



Come si nota la provenienza degli IP mostra una varia geo-localizzazione dei siti, quasi sempre compromessi, che vengo utilizzati per ospitare le false pagine di login.

Ecco invece alcuni tra le decine di layout attualmente attivi 








che in dettaglio

od anche


con


dai layouts abbastanza simili

Questi altri layouts molto comuni





Di solito si cerca di associare la richiesta di un login a web mail con 'la scusa' di poter consentire  l'accesso ad altre pagine web di vario genere (cataloghi prodotti, files  ecc....)

Per quanto riguarda l'uso di questi dati di accesso a web-mails cosi' ricercati dai phishers si puo' pensare che una volta venuti in possesso delle credenziali di login  possano cercare di acquisire dati personali eventualmente presenti in messaggi mails, ma anche utilizzare gli accounts compromessi per effettuare invio di spam,  di messaggi con links a malware ecc... senza contare che, banalmente, l'operazione di phishing potrebbe servire semplicemente a confermare ed acquisire nuovi indirizzi email da usare in seguito.
C'e' inoltre da tenere presente che in alcuni casi lo stesso  accesso alla web-mail (es Google) permette di accedere anche ad altri servizi forniti dalla stessa azienda (nel caso di Google es. Google Docs ecc...) e quindi permetterebbe ai phishers di venire in possesso di altre info personali eventualmente collegate agli altri servizi online.
Come nota finale appare pure possibile che chi usa un accesso a web-mail utilizzi le stesse credenziali per linkarsi a servizi diversi e magari anche a dati piu' 'sensibili' quali ad esempio quelli di Internet Banking.

Edgar