venerdì 29 marzo 2013

Siti IT compromessi. Un caso particolare (29 marzo)

Si tratta di un sito di noto comune del sud Italia


che risulta segnalato in rete come compromesso attraverso l'inclusione di codice html di hacking


Poiche' lo stesso sito parrebbe essere hostato su server dedicato 


si e' provato un reverse IP dell'indirizzo  coinvolto ottenendo un elenco di una decina di siti che sono stati analizzati alla ricerca di eventuali pagine di hacking ospitate ad indirizzo web simile a quello visto per la pagina sul sito comunale analizzato. (homepage/hoss.htm)
In effetti si nota che in piu' della meta' dei link analizzati troviamo una pagina di hacking hoss.htm uguale a quella vista sul sito comunale

Questo un report Autoit che evidenzia i siti coinvolti


e questo uno screenshot di una delle pagine incluse identica a quella presente sul sito comunale compromesso.


Gli headers mostrano data recente relativamente al probabile momento dell'inclusione della pagina nel sito compromesso


Una particolarita' di questa azione di hacking e' la presenza di segnalazioni online che evidenziano la pagina di hacking come malware.
Esaminando il sorgente si nota  la presenza di un codice debolmente offuscato 


che de-offuscato vede linkare un indirizzo di blog che si occupa di hacking.


Una analisi VT in effetti rileva il source della pagina come includere un Trojan.Script.KD 


anche se parrebbe essere solamente una indicazione che viene generata non tanto dalla pericolosita' del codice presente ma piuttosto dal fatto che si tratta di script offuscato, poiche' il blog linkato non presenta al momento indicazioni di presenza malware. 

Edgar

Nuovamente preso di mira dai phishers il servizio in lingua italiana di venere.com (28 marzo)

Tra gli obiettivi del phishing non abbiamo solo siti di banche, PosteIT, servizi online legati a transazioni di denaro (vedi PayPal), siti di pagamento di servizi online (vedi ad esempio il caso EDF trattato qui e relativo a fornitura di energia elettrica in Francia), phishing legato a servizi web-based (Yahoo, Facebook, Gmail, Outlook Web Access, ecc) ma anche casi particolari come quello di venere.com.

Si tratta di un servizio online di prenotazione hotels, agriturismo ecc.... legato al gruppo di aziende facenti parte di Expedia e che, come gia' accaduto ad inizio mese, torna ad essere obiettivo di una mail di phishing orientata ad utenza italiana.
Ricordo che Expedia e' un sito di viaggi statunitense fondato da Microsoft nel 1996, con versioni in lingua per venti nazioni Tramite Expedia e' possibile prenotare biglietti d'aereo, hotel, automobili a noleggio, crociere, pacchetti vacanza e vari servizi attraverso internet o telefono.(fonte Wikipedia)

Come la volta scorsa abbiamo questa mail 


che, con le classiche argomentazioni usate dai phishers (verifica account....ecc...) , invita ad aprire il form allegato


ed effettuare il login per confermare gli 'aggiornamenti'
Chiaramente si tratta dell'ennesimo tentativo di acquisire le credenziali di accesso al servizio fornito da venere.com
Da notare che  l'IP source presente negli headers mail mostra 


con probabile origine italiana, mentre una analisi dell'IP su Spamhaus 


evidenzia l'IP number in blacklist


Il form  allegato in mail utilizza per l'acquisizione delle credenziali di login, un codice PHP


 residente su dominio che, come la volta scorsa, e' creato tramite servizio free CZ (repubblica Ceca)


Una volta effettuato il fake login si viene rediretti sul legittimo sito venere.com


Edgar

giovedì 28 marzo 2013

Phishing ai danni di utenti IT di Facebook (28 marzo)

Ricevuta una mail che evidenzia un phishing che tenta di sottrarre credenziali di accesso ad utenti IT del noto social network.
Come vedremo da una breve analisi, oltre che a colpire utenti IT, la fonte del phishing parrebbe avere origine italiana almeno per quanto si riferisce agli headers rilevati in mail.
La possibile source italiana di questo phishing contrasta comunque con il testo del messaggio mail che se pur in lingua italiana non e' molto corretto, senza dimenticare che il fake form di login/registrazione account e' in lingua inglese.

Ecco alcuni dettagli:

Questa la mail 


i cui headers mostrano IP tutti italiani come probabile source dello SPAM


Il link presente in mail punta a fake form Facebook 


hostato su


con questa struttura di folder che ospita il clone creato in data recente


Analizzando il fake form vediamo come lo stesso sia gestito, relativamente all'acquisizione delle credenziali di accesso, in modo particolare e poco visto in altri casi.
Possiamo infatti notare come sia possibile dividere il form in due parti ben distinte e precisamente:

1) Un form di login a Facebook per chi possiede gia' l'account (gestito da codice PHP linkato su altro IP) e che inviera' ai phishers i dati acquisiti

2) Un form di nuova registrazione a Facebook gestito da legittimo php che linka al reale sito di Facebook


Probabilmente si vuole in questo modo rendere piu' credibile il form e d'altronde dal testo mail (….Per proteggere il tuo account, e sara necessario effettuare nuovamente l'accesso....) si capisce come il phishing sia rivolto a chi gia' possiede un account Facebook e che quindi scegliera' il fake form di login con conseguente furto delle credenziali di accesso.

Per quanto si riferisce all'utilita' per i phishers di acquisire credenziali Facebook ci sono diverse possibilita' di utilizzo delle stesse come ad esempio l'ulteriore invio di spam di phishing (con link malevoli ecc....)  attraverso gli elenchi di contatti  accessibili una volta loggati in Facebook con le password sottratte.
E' comunque anche probabile che una volta acquisiti i dati di accesso i cybercriminali approfittino del fatto che gli utenti tendono a utilizzare la stessa password in vari servizi web-based (Yahoo, Facebook, Gmail, Outlook Web Access, ecc) cosa che, al limite, potrebbe anche permettere l'accesso remoto  a reti aziendali.

Edgar

mercoledì 27 marzo 2013

Continua sempre molto attivo lo SPAM con link a malware ai danni di utenti IT della rete. Aggiornamenti (27 marzo)

Segnalato da un lettore che ringrazio, sul 'DB Segnalazioni' del Blog', un ulteriore SPAM con link a contenuti malevoli:


Che ci sia in queste ore una nuova “campagna” di SPAM pericoloso e' anche evidente dalle visite al blog: 


Dal grafico si nota sia il picco di visite tra ieri ed oggi ma che quello relativo allo stesso SPAM con links a malware sviluppatosi nella scorsa settimana.
La conferma si ha anche esaminando quali sono i post del Blog piu' letti ultimamente e dove vediamo nei titoli, molti riferimenti al noto SPAM.


Edgar

“Informazioni richieste”. Continua sempre molto attivo lo SPAM con link a malware ai danni di utenti IT della rete (27 marzo)

E di poco fa l'arrivo dell'ennesima mail di SPAM con i 'soliti' contenuti e link a malware:


Da notare un riferimento anche a 'Monte Biz' che e' quasi sempre presente in questo genere di messaggi.
Il contenuto e' il consueto link a file compresso in formato ZIP hostato su sito compromesso, e che vede la presenza di eseguibile mascherato da lunga sequenza di caratteri 'underscore'



Come gia' detto piu' volte la presenza di caratteri  'underscore' nel nome del file tende a nascondere la parte del nome del file relativa alla estensione .EXE come si nota bene in questo screenshot:


Anche questa volta il riconoscimento dei contenuti malware e', al momento, quasi nullo, e questo proprio a causa dei continui 'aggiornamenti' del codice malware attraverso l'invio di sempre nuove mails di SPAM.


con


Una sommaria analisi ANUBIS mostra che l'eseguibile una volta in run parrebbe attivare un traffico


 con un  indirizzo IP relativo  server Pakistano


Come curiosita' segnalo che lo stesso IP e' inoltre presente in un report online e relativo a SPAM con contenuti molto simili a quelli odierni tranne che per i testi in lingua inglese: 


Dal testo dell'oggetto delle mails inviate tramite l'IP pakistano  risulta evidente che si tratta di  messaggi con probabili analogie con i casi odierni. (mail dai testi che tentano in qualche modo di incuriosire chi ricevesse il messaggio cercando di invogliarlo a  seguire il link a file malware).

Considerato che noto sui logs del blog un grande accesso ai post relativi a questo genere di SPAM malware, informo che  come sempre, nei casi esaminati attualmente, la semplice lettura della mail ricevuta non comporta nessun problema di sicurezza, ma solo scaricando lo zip e lanciandone il contenuto eseguibile verrebbe eseguito il malware.

Edgar

lunedì 25 marzo 2013

'Variazioni l'accumulo di pensione' Nuovamente attivo lo spam con link a malware ai danni di utenti IT. (25 marzo)

Ritorna, dopo pochi giorni (vedi questo recente post) l'ormai noto spam che presenta messaggi dall'oggetto e dal testo quasi sempre 'senza senso” e link a file zip contenente eseguibile malware mascherato da fake PDF, DOC ecc.....
Lo scopo del messaggio e' quello di convincere chi ricevesse la  mail a cliccare su link, scaricare e aprire il file zip ed eseguirne il contenuto.

Ecc un attuale esempio:


dove risulta evidente il link a file ZIP il cui contenuto (con timestamp in data odierna) e' il solito file eseguibile  la cui estensione .EXE e' mascherata da una lunga sequenza di caratteri 'underscore'.


Come sempre se la finestra video che  mostra il contenuto del file zip e' di dimensioni ridotte l'estensione .EXE non risultera' visibile inducendo a credere che si tratti di semplice file PDF.
Al momento , dopo un iniziale basso riconoscimento, il contenuto pericoloso risulta rilevato da circa la meta' dei software AV presenti su VT


con


Da notare come anche un sito di scansione URL presente online mostri riconoscere i contenuti come appartenenti a  “........  Italian Spam Campaign ZIP with EXE Containing Many Underscores”


Edgar

sabato 23 marzo 2013

Siti IT compromessi (23 marzo)

Un buon numero di siti IT rilevati da un reverse IP su


presentano incluso questo codice htm di hacking


Una analisi degli headers mostra data recente


mentre qui vediamo il report generato dallo script Autoit che evidenzia i numerosi siti colpiti.


Edgar

mercoledì 20 marzo 2013

Gentile utente, Monte Biz .......Vedi ultime informazioni su........ (20 marzo)

Parrebbe essere nuovamente attivo l'invio dell'ormai ben noto spam con messaggio mail che linka a file in formato ZIP contenente eseguibile .EXE malware, mascherato da lunga sequenza di caratteri 'underscore'.
Questa l'attuale mail ricevuta dove si nota l'uso di indirizzo realmente esistente ma molto datato e relativo a dominio senato.it


Una analisi dell'header mail mostra anche un IP appartenente a range italiano


Il file ZIP linkato e' hostato su sito compromesso e contiene 


con la 'solita' struttura relativa al nome del file.
Come succede sempre in questi casi una analisi VT mostra basso riconoscimento del malware, almeno nelle prime ore di diffusione delle mails di spam.


Edgar

mercoledì 13 marzo 2013

Siti IT compromessi (13 marzo)

La quasi totalita' di siti  IT rilevati da un reverse IP su 


presentano incluso questo codice htm 


Una analisi degli headers mostra data recente


mentre qui vediamo il report generato dallo script Autoit che evidenzia i siti colpiti. 


Edgar