martedì 16 ottobre 2012

Fake pagine di avviso di violazioni di legge su diritti di autore, sulla distribuzione di musica, films ecc... (16 ottobre)

Nel 2012 ha iniziato a diffondersi un worm ransomware conosciuto come Reveton, e soprannominato anche il "Trojan della polizia".
Il payload del malware consisteva in un avviso apparentemente  proveniente da  organi di polizia, con l'indicazione che il computer era stato utilizzato per attivita' illegali, come ad esempio il download di software pirata.
Il malware effettuava un blocco del sistema informando l'utente che, per sbloccare il computer, avrebbe dovuto pagare una multa utilizzando un servizio anonimo di pagamenti come  Ukash o Paysafecard presente sulla fake pagina. 
Per aumentare l'illusione che il computer veniva monitorato dalle forze dell'ordine, lo schermo visualizzava anche l'indirizzo IP del computer.
Versioni piu' recenti del malware potrebbero anche mostrare  immagini da webcam per dare l'illusione che si stanno registrando le 'attivita'' svolte dall'utente.
Reveton inizialmente inizio' a diffondersi in diversi paesi europei, nei primi mesi del 2012.
Nel maggio 2012, i ricercatori Trend Micro hanno scoperto varianti per gli Stati Uniti e il Canada, il che suggerisce che i suoi autori avevano in programma di colpire utenti del Nord America. Nell'agosto 2012, una nuova variante di Reveton ha iniziato a diffondersi negli Stati Uniti, richiedendo il pagamento di una multa di 200 dollari per l'FBI utilizza una scheda MoneyPak.........
(fonte wikipedia) (altre info QUI)

La segnalazione apparsa su phishtank 


e ripresa anche su d3lab.net   parrebbe nuovamente mostrare una attivita' online legata a questo genere di attacchi.
Si tratta di un server che ospita false pagine di avviso di violazione della legge sulla distribuzione di materiale protetto da diritti di autore, di detenzione e distribuzione di materiale con contenuti porno ecc....
In realta' e' l'ennesimo tentativo online di proporre false comunicazioni a fronte di un probabile blocco del computer da parte di noto malware, con l'avviso di pagare la sanzione proposta.
Quello che rende interessante questo caso  e' l'elevato grado di dettaglio raggiunto nel layout delle pagine proposte ed inoltre l'uso per il 'pagamento' di servizi quali Ukash e Paysafecard. 

Ecco una ,incompleta, ma lunga serie di pagine proposte, che vengono personalizzate facendo riferimento all'IP di chi accede alla pagina stessa.
Attraverso un semplice script Autoit e' possibile commutare 'al volo' i nodi di uscita utilizzati da TOR


cosa che ha permesso di selezionare diverse provenienze 'virtuali' visitando la pagina del falso avviso della polizia.

Ecco come si presenta con 

IP francese


mentre nella parte bassa della pagina troviamo riferimenti personalizzati e loghi a dove reperire i servizi di pagamento utilizzati



IP belga


IP austriaco 


con a fondo pagina


IP spagnolo


IP svedese


ma anche IP Canadese


e USA


IP irlandese


IP polacco




IP tedesco


IP finlandese


ecc.........

Sugli IP non presi in considerazione per la personalizzazione dei contenuti di pagina, viene usata questa di default (esempio con IP argentino)


Non poteva naturalmente mancare la pagina in italiano con


ed in dettaglio


e


Un altro interessante particolare e' il sistema adottato da chi gestisce le pagine per acquisire i pagamenti in maniera anonima.

Vengono infatti proposti due differenti modi di pagamento.

Il primo usa www.ukash.com  il cui utilizzo parrebbe garantire l'acquisizione in modo anonimo del contante richiesto per pagare la falsa sanzione.
Su questo sito in lingua italiana un testo abbastanza chiaro su come funziona il sistema Ukash

Simile a Ukash e' il servizio fornito da  www.paysafecard.com


sulla homepage del quale vediamo un avviso proprio sui casi visti prima.

Edgar

Nessun commento: