mercoledì 31 luglio 2013

Uso di Google Translate per offuscare links e redirigere a siti di Pharmacy. (31 luglio)

L'utilizzo di servizi offerti da Google per redirigere a siti di Pharmacy o distribuzione malware o per hostare contenuti di phishing non e' cosa nuova.
Basta ad esempio ricordare l'utilizzo di 'Google URL Shortener' oppure i fake forms di phishing che usano Google Docs per la loro gestione.
Attualmente pare che gli spammers di contenuti di Pharmacy abbiano trovato un nuovo sistema per 'offuscare' i links a siti di vendita online di medicinali attuando nel contempo un redirect automatico.

Ecco una mail ricevuta ieri che mostra un tipico layout di pagina Google con in evidenza un link legittimo a Google.


Questo l.IP in header mail


L'oggetto mail propone un messaggio inviato da 'Google Service' mentre tutto il layout ricorda quello di pagine Google.
Da notare come il link che compare sia in parte in chiaro “......google.com.....” ed in parte offuscato, proprio per evidenziare ancora di piu' che si tratta di reale link a Google e  non a fake sito.
Lo stesso link ma non offuscato appare anche nel testo del messaggio dove si informa della possibilita' di disabilitare l'invio di comunicazioni da parte di Google.
Da notare anche la 'personalizzazione' del messaggio che riporta ben due riferimenti alla nostra mail a cui e' stato inviato.

Ecco come appare il link in chiaro


Si nota come in realta' attivi Google Translate, 'passandogli' una url di redirect a sito di Pharmacy
Una volta in Google Translator, 


se il 'safe mode' e' disabilitato, si verra' rediretti al sito di Pharmacy attraverso un codice debolmente offuscato presente su sito compromesso USA:


Riassumendo:


Questo il sito 'finale' di pharmacy,


 e che presenta whois


Si tratta quindi di un sistema che, almeno al momento, sembra funzionare senza problemi nel reindirizzare chi cliccasse sul link in mail, con il rischio che l'url appaia legittima (Google).
Per ora, l'unico avviso presente e' il fatto che Google Translator parrebbe individuare un possibile redirect presentando un messaggio, peraltro generico,  e bloccando lo script.


Il fatto che comunque si tratti di un messaggio che indica la possibilita' che la traduzione non avvenga correttamente se il 'safe mode 'e' abilitato, e non informi del possibile redirect, potrebbe comunque portare l'utente a disabilitare il 'Safe Mode' attivando quindi il re-indirizzamento.
Chiaramente anche se per ora si nota solo un uso di redirect a Pharmacy, gli spammers potrebbero creare urls che, attraverso Google Translate, puntino a malware, phishing ecc...., con tutte le conseguenze del caso.  

Edgar

lunedì 29 luglio 2013

Siti IT compromessi da Pharmacy hacking. (29 luglio)

Sempre numerosi i siti IT compromessi allo scopo di distribuire links a pharmacy.
Da notare come una volta rilevato dal motore di ricerca un attuale sito IT compromesso con inclusione di codici di Pharmacy hacking


un reverse IP  sul medesimo hosting (IP di hoster tedesco anche se si tratta di siti IT) 


e l'uso di script Autoit, con User Agent come Google Bot, 


mostrano decine di siti IT tutti con il medesimo problema.
Qui alcuni screenshot dei siti colpiti 


e


mentre questo il report Autoit


che ne evidenzia l'elevato numero.

Come gia' scritto,  le homepages presentano lunghe sequenze di links e di termini di Pharmacy solo se caricate nel browser utilizzando user agent Google Bot.

Edgar

martedì 23 luglio 2013

Siti IT compromessi. (23 luglio)

Una analisi di reverse IP su:


rivela numerosi siti su dominio IT che presentano inclusa questa pagina di hacking:


Ecco il report creato dal tool Autoit 


dove si nota un buon numero di siti compromessi (piu' di 30).


Questo invece un server di Regione italiana


dove un reverse IP e successiva analisi con tool Autoit mostrano alcuni siti comunali


che includono un codice html di hacking


In questo caso le date presenti negli headers delle pagine rivelano sia codici inclusi da pochi giorni, che codici che parrebbero essere stati inclusi da tempo.
In ogni caso si tratta sempre del medesimo layout di pagina con le tipiche scritte di hacking.

Come sempre siamo di fronte ad azioni di hacking che, anche se non alterano le funzionalita' dei siti colpiti (le homepages sono raggiungibili senza problemi), evidenziano comunque vulnerabilita' che potrebbero anche essere usate a supporto di phishing, distribuzione malware ecc.....

Edgar

mercoledì 17 luglio 2013

Final Warning from Postmaster (17 luglio)

Si tratta di questa mail ricevuta oggi


dal tipico contenuto di phishing 'generico' orientato ad acquisire credenziali di login ad e-mail.
Il testo non specifica infatti un particolare fornitore di servizi e-mail ma informa di un generico  “upgrade” del nostro account (“your email account“).

La mail presenta header come


Il link punta a questa pagina su sito creato  su servizio USA di hosting a pagamento ma che parrebbe avere anche una versione free 'di prova' (notare anche riferimenti ad un filtro antispam attivato dalla registrazione).


Come si nota dal form vengono richieste le credenziali mail ma anche il numero di telefono di chi cadesse nel phishing.
Una volta inseriti i dati richiesti appare un breve testo di conferma del corretto upgrade del nostro account.


La fake mail, anche se ricevuta su indirizzo mail IT, parrebbe comunque essere orientata a colpire utenti idi lingua inglese e non rivolta a quelli italiani. 
La richiesta nel form del numero telefonico evidenzia poi la possibilita' che oltre che ad acquisire il controllo della nostra mailbox (con tutti i problemi del caso) i phishers possano attuare truffe via telefono, al limite tentando di acquisire ulteriori dati sensibili.

Edgar

domenica 14 luglio 2013

Vinci gratis un Smartphone. Nuovo phishing TIM (13 luglio)


Si tratta di una mail di phishing che appartiene alla 'sequenza' di mails viste in queste ultime settimane e che hanno come obbiettivo note aziende di telefonia  come Vodafone, WIND e TIM.


Anche questa mail propone, come alcune precedenti TIM,Vodafone e WIND, il source codificato in base64, mentre e' da notare come il banner TIM non sia visualizzato sul messaggio mail.
Questo si spiega poiche' il banner TIM e' linkato dal sito legittimo TIM che e' attualmente in manutenzione.


Il dominio che ospita il clone (con relativo sottodominio ingannevole) e' stato creato da poco e registrato a nome di persona italiana


mentre l'hosting e' su IP UK.
La homepage del sito usato per ospitare il clone mostra il consueto messaggio dell'hoster UK di attivazione della pagina.


Per quanto si riferisce al KIT di phishing abbiamo stessa struttura di precedenti KITs analizzati


cosa che si conferma anche con lo stesso layout fake TIM visto i giorni scorsi (compresa la presenza di pagine Lottomatica e PosteIT incluse nel phishing)

Edgar

sabato 13 luglio 2013

Webmail phishing (13 luglio)

Veramente elevata la quantita' di fake pagine di login a webmail od a servizi web online che richiedono per il login indirizzo mail e password.
Di solito i phishers mettono online pagine che consentono l'accesso multiplo a differenti account proponendo ad esempio login a Yahoo mail, GMAIL, Microsoft Live ecc... sul medesimo form. 
Lo scopo e quello di acquisire il maggior numero di accessi legittimi a mailbox per poi utilizzarli in azioni di spam, di distribuzione malware o phishing, ma anche di furto di dati personali che potrebbero essere acquisiti accedendo alla  mailbox compromessa.
Se poi si pensa che sono in molti ad utilizzare la medesima password di accesso a piu' servizi WEB, il rischio e' ancora piu' elevato.
Ecco alcuni esempi attualmente online tratti dalle decine se non centinaia di pagine di phishing o comunque di login fake a servizi WEB.

Questa una pagina di login multiplo a webmail che dovrebbe permettere un accesso a Google Docs attraverso login a differenti servizi, cosa naturalmente non vera, ma che potrebbe indurre ad usare uno dei fake form di login proposti.


La particolarita' e' che la pagina ed i codici relativi sfruttano il servizio free di hosting Altervista.
Tra l'altro la data di creazione dell'account free non sembra neanche molto recente.


Questa una pagina che riproduce un login ad account Google Docs.


Si tratta di fake pagina su sito con IP


Come succede spesso in questi casi non si tratta del solo phishing hostato su questo sito compromesso, ma una sommaria analisi dei contenuti mostra una estesa presenza sia di codici di hacking (es. questo mailer)


ma anche di KITS di phishing tutti mirati a colpire servizi webmail di vario genere.
Qui vediamo ad esempio un folder contenente sia il KIT del phishing Google che un phishing Remax.


Remax e' una azienda che si occupa del mercato immobiliare USA ed e' sempre molto presente in casi di phishing con decine di pagine clone di acquisizione credenziali di accesso a webamail.

Ecco un tipico layout di phishing Remax tratto da Phishtank


ed ecco il KIT incluso nel sito compromesso


con un dettaglio di uno dei semplici codici PHP che si occupano di trasferire i dati sottratti al phisher.
Sempre sul medesimo sito troviamo una pagina clone di accesso a Yahoo


piu' altri files collegati sempre a phishing webmail.

Questo invece e' un phishing Google Drive


con una scelta simile a quella precedente (phishing Remax) in fatto di fake login a servizi webmail.
Altra pagina simile alle precedenti e' questa


mentre qui vediamo l'ennesima pagina di phishing Remax 


facente parte di un gruppo di due phishing identici sul medesimo sito compromesso


Edgar

Ancora phishing ai danni di aziende telefoniche IT (13 luglio)

Nuove mails di phishing ai danni di Vodafone e WIND.

Per quanto si riferisce a WIND abbiamo questa mail


con header che mostra IP


Anche se il layout della mail e la struttura del source (non abbiamo la presenza di codifica in base64 come in quasi tutti i casi rilevati in queste settimane)il KIT utilizzato sembra una versione piu' 'evoluta' dei precedenti KIT WIND 

Questo ad esempio uno dei KIT Wind rilevati in passato


questo l'attuale KIT


Abbiamo la presenza di diverse pagine PosteIT ed anche una pagina CartaSI inclusi nel nuovo KIT WIND.
Al momento parrebbe comunque essere attiva la medesima struttura di phishing osservata in passato (redirect a pagina clone PosteIT o Lottomatica a seconda dei num. di carta inserito nel form WIND)

Il clone e' hostato su server polacco appartenete ad azienda di web hosting e precisamente in sottodominio appartenente a sito creato in Wordpress.


La seconda mail ricevuta linka a phishing Vodafone


Si tratta di classico layout con presenza di codice in base64.

Il clone e' hostato su IP


mentre il sotto-dominio dal nome ingannevole usa dominio creato da poco e a nome di persona italiana


Il KIT di phishing utilizzato e' simile ai precedenti e ricalca la struttura di quelli utilizzati anche per WIND e TIM.


Dopo poche ore dal ricevimento mail il clone risulta OFF-line cosi' come il dominio utilizzato dai phishers.

Edgar