sabato 31 agosto 2013

Alcuni siti IT compromessi con azione di defacement (31 agosto)

Una dozzina di siti hostati su IP italiano con whois


presentano la homepage sostituita da pagina di hacking


Questo il report eseguito con script Autoit che mostra i siti colpiti


mentre qui vediamo l'header delle pagine con data e time riferiti a ieri per l'azione di hacking.


Edgar

mercoledì 28 agosto 2013

Phishing webmail(28 agosto)

Numerosi i casi odierni di phishing ai danni di noti servizi webmail (Yahoo, Google,AOL ecc....)

Questo un parziale report


che evidenzia l'utilizzo di una pagina fake dal layout ben noto.


Notate il logo di Google Docs a cui si viener ediretti dopo l'inserimento dei  dati.
Si tratta di un phishing multiplo ai danni di differenti servizi webmail, simile e probabilmente derivato da una pagina gia' vista in moltissimi casi di phishing Remax  


(Remax e' una azienda che si occupa del mercato immobiliare USA ed e' sempre molto sfruttata dai phishers per gestire decine di pagine clone di acquisizione credenziali di accesso a webamail.)

In buona parte dei casi analizzati oggi sembra sia stato utilizzato questo KIT


che conferma l'analogia con il phishing Remax attraverso l'uso di un subfolder il cui nome fa esplicito riferimento proprio all'azienda in questione (notate anche l'immagine del logo Remax).


L'uso del medesimo KIT lo si rileva dalla presenza dello stesso subfolder in molti dei cloni online:


ed anche


Per quanto si riferisce ai codici php utilizzati notiamo la data abbastanza recente degli stessi  (in quanto modificati dal phisher per includere l'indirizzo mail d invio credenziali sottratte)


mentre qui vediamo i sources






con invio delle credenziali di login sempre allo stesso phisher.
Si tratta di codice molto semplice e gia' usato in passato.

Da notare come in uno dei siti analizzati i phishers abbiano anche lasciato online una lista in formato testo 


contenente piu' di 8.000 indirizzi e-mail AOL

Potrebbe trattarsi di un elenco da utilizzare in unione a mailer per inviare mails 'mirate' a specifici utenti di servizio webmail (in questo caso AOL)  aumentando le probabilita' che chi riceve il messaggio cada nel tranello della falsa pagina di login.
Come gia' scritto in passato, lo scopo e quello di acquisire il maggior numero di accessi legittimi a mailbox per poi utilizzarli in azioni di spam, di distribuzione malware o phishing, ma anche di furto di dati personali che potrebbero essere acquisiti accedendo alla  mailbox compromessa.
Se poi si pensa che sono in molti ad utilizzare la medesima password di accesso a piu' servizi WEB, il rischio di vedersi sottratti dati personali per chi fosse caduto nel phishing, e' ancora piu' elevato.

Edgar

martedì 27 agosto 2013

Distribuzione malware attraverso allegati mail (27 agosto)

La distribuzione di malware attraverso files eseguibili allegati a messaggi mail e' sempre molto diffusa.
Quello che vediamo ora e' un attuale caso ai danni di probabili utenti UK della rete, considerato che propone un testo che indica l' HMRC come mittente del messaggio.

L'HMRC e', come si legge su Wikipedia:

….... Her Majesty's Revenue and Customs (HMRC) Is a non-ministerial department of the UK Government responsible for the collection of taxes, the payment of some forms of state support and the administration of other regulatory regimes …...........

in pratica di un dipartimento del governo UK che si occupa del pagamento delle imposte ecc.....

Il testo mail che vediamo 


cerca quindi di far aprire l'allegato ZIP, attraverso un testo che fa riferimento a tasse che riguardano chi riceve il messaggio.
In piu' viene anche descritta una verifica antivirus che sarebbe stata eseguita sul documento attraverso software Symantec e che certifica la mail VIRUS FREE.
La cosa e' naturalmente ben diversa analizzando il contenuto dell'allegato file ZIP


Si tratta di file eseguibile che VT mostra poco riconosciuto, al momento attuale, dai piu' noti softwares antivirus.


con


Particolare interessante e' che proprio l'antivirus Symantec, citato in mail come software di controllo dei contenuti, e' uno dei pochi che rivelano il file allegato, come malevolo.

Edgar

Siti di PA italiana compromessi ed azioni di pharmacy hacking.(27 agosto)

Da molto tempo vediamo online siti, anche IT, che subiscono azioni di hacking di differente natura.
Si va, ad esempio, dalla inclusione di codici html relativi a pagine di hacking visibili solo se si seleziona una specifica URL (pagine incluse ma che non alterano l'usabilita' del sito colpito) sino a vere e proprie azioni di 'defacement' che portano alla sostituzione delle homepages con pagine di hacking (ed evidente blocco del sito colpito)
In ogni caso, come gia' scritto molte volte, anche l'inclusione di pagine web nascoste, evidenzia delle vulnerabilita' presenti, che potrebbero essere utilizzate per scopi diversi (inclusione e distribuzione di links a malware, phishing, pharmacy ecc.....).

Vediamo ora il caso odierno che riguarda un buon numero di siti comunali IT che vedono l'inclusione di questa pagina


Un report eseguito con tool Autoit 


mostra che su IP italiano


si trovano diversi siti appartenenti a Comuni del centro Italia con pagina di hacking inclusa

La cosa interessante e' che, facendo una ricerca per contenuti di pharmacy limitatamente al medesimo IP dei siti compromessi visti sopra, troviamo un sito comunale che, pur non incluso nella lista di quelli compromessi in data odierna, presenta numerose pagine con contenuti di pharmacy.


La ricerca in rete mostra infatti che lo stesso IP number propone sia siti di PA con inclusione di pagine di hacking che quelle di un Comune contenente termini e links a pharmacy.
Notate  i termini di pharmacy inclusi nelle pagina anche in lingua italiana.

Da evidenziare che detto sito comunale viene indicizzato da Google da tempo (alcuni mesi) con contenuti di pharmacy e risulta anche inserito nei risultati di ricerca con time attuale di indicizzazione in data odierna


a conferma che l'azione di pharmacy hacking parrebbe essere tuttora attiva.

Edgar

lunedì 26 agosto 2013

Ancora siti IT compromessi (26 agosto)

Approfittando anche della differenza di fuso orario tra Thailandia e Italia (analisi delle urls eseguita in orario notturno per l'Italia) vediamo una attuale azione di defacement che colpisce siti IT hostati su servers con IP contigui.

Il primo gruppo di siti e' hostato su IP italiano (nello screenshot la homepage ed il relativo whois)


Questo il report riferito ai siti la cui homepage e' sostituita dalla pagina di hacking


Il secondo gruppo di siti compromessi sempre dal medesimo personaggio ha IP


Come si nota si tratta di IP number contiguo al precedente.

Questo il report 


mentre qui vediamo l'header che mostra data e time attuale per l'azione di hacking


Edgar

domenica 25 agosto 2013

Siti IT compromessi. Una odierna azione di 'mass defacement' (25 agosto)

Questo un defacement che colpisce attualmente tutti i 34 siti .IT rilevati da reverse IP su:


Si tratta di siti su dominio .IT anche se hostati su server con IP tedesco.

Ecco come si presenta la homepage dei siti colpiti 


mentre qui vediamo un report Autoit che mostra l'elevato numero di homepages sostituite dalla pagina di hacking:


Edgar

sabato 24 agosto 2013

Distribuzione malware e pharmacy attraverso forum IT (24 agosto)

Anche se forse in quantita' minore rispetto a  quanto rilevato in passato, sono sempre presenti online forum poco o per niente amministrati che vengono utilizzati per proporre links a malware (di solito attraverso fake siti porno) o links a pharmacy.

Ad esempio, questo forum IT


che propone post aggiornati ad oggi (24 agosto) con links di vario genere.

Seguendo uno dei tanti links presenti nei post veniamo rediretti a sito che a sua volta punta a


Si tratta di un ben noto layout di fake sito porno dove tutte le immagini proposte come links a filmati attivano in realta' il download di file eseguibile.
Notate come l'url che linka al file permetta di creare un nome qualsiasi di file exe che andremo a downloadare


Una analisi VT mostra riconoscimento quasi nullo per i contenuti malevoli


con, in dettaglio


Un whois del fake sito porno mostra IP in range gia' visto da tempo in casi di distribuzione malware.


Sempre lo stesso forum presenta posts che puntano a contenuti di pharmacy aggiornati.

Ad esempio un link a pagina hostata su server FR


che a sua volta linka a questa pagina di vendita online di medicinali su IP tedesco:


Da notare come le due pagine presentino testo in lingua italiana.

Edgar

venerdì 23 agosto 2013

Ancora inclusione in grande numero di codici htm su siti .IT hostati sul medesimo IP (23 agosto)

Sempre lo stesso personaggio (o gruppo) segnalato QUI e QUI parrebbe essere l'autore di una nuova inclusione di codice html su un notevole numero di siti IT sul medesimo server.


Si tratta di ben 180 dei 198 siti rilevati da un reverse IP su 


Questo il report generato da script Autoit che mostra l'inclusione di una semplice pagina, dal layout gia' visto pochi giorni fa.


Da notare come il time rilevato negli headers mostri un probabile intervallo di tempo di circa 2 ore tra le prime inclusioni e le ultime.


Come sempre siamo di fronte ad azioni che, anche se non alterano le funzionalita' dei siti colpiti (le homepages sono raggiungibili senza problemi), evidenziano comunque vulnerabilita', anche importanti, che potrebbero anche essere usate a supporto di phishing, distribuzione malware ecc.....

Edgar

giovedì 22 agosto 2013

WEBmail phishing(22 agosto)

Sempre molto attivo il phishing che prende di mira i servizi di WEBmail tra cui Yahoo, Gmail, Windows Live, AOL 


nonche' un generico servizio di WEBmail


Si tratta di tentativi di acquisizione di credenziali di accesso alla mailbox ma anche di dati personali utili a creare azioni fraudolente ai danni di chi fosse caduto nel phishing.

Qui vediamo la semplice struttura dei folders 


ospitati su dominio creato in data recente


e con whois


dominio che parrebbe essere stato creato al solo scopo di hostare i codici di phishing.

Si notano diversi folders che ospitano phishing webmail multiplo mentre alcuni solo phishing Windows Live Outlook


Analizzando uno dei KIT presenti  


vediamo come siano, in questo caso per Microsoft LIVE, proposti due layout:

questo con pagina clone di login


e semplice acquisizione di username e password come si nota sul codice php di supporto


e questa pagina piu' complessa nel form, dove vengono richiesti anche alcuni dati personali


utilizzando questo codice php per l'invio degli stessi al phisher tramite mail GMAIL


Come gia' scritto in precedenti post, lo scopo e quello di acquisire il maggior numero di accessi legittimi a mailbox per poi utilizzarli in azioni di spam, di distribuzione malware o phishing, ma anche di furto di dati personali che potrebbero essere acquisiti accedendo alla  mailbox compromessa.
Se poi si pensa che sono in molti ad utilizzare la medesima password di accesso a piu' servizi WEB, il rischio di vedersi sottratti dati personali per chi avesse 'fornito' le credenziali di login alla propria webmail, e' ancora piu' elevato.

Edgar