venerdì 31 gennaio 2014

Ancora phishing CREDEM. Utilizzo di href.li per 'nascondere' il referrer (21 gennaio)

Si tratta di phishing ai danni di CREDEM attivo sino alla serata di ieri (30 gennaio thai time)
La cosa interessante non e' tanto il layout complessivo del phishing (mail simile alle precedenti e forms uguali a quelli recentemente analizzati QUI) ma piuttosto l'allegato utilizzato e la lunga catena di redirect per giungere al fake sito Credem nonche' l'utilizzo finale del sito href.li per 'nascondere' il referrer di chi fosse caduto nel phishing

Questa la mail


che presenta header con IP origine simile a quello del caso precedente.


Come si vede dallo screenshot, abbiamo messaggio mail con allegato html, il cui source mostra un contenuto debolmente offuscato


e che de-offuscato mostra


Si  tratta di codice html contenente testo con nessun riferimento al phishing (ma probabilmente utile per rendere meno rilevabili i contenuti di phishing) ed un frame con link a redirect.

Questo come appare il source dell'allegato quando caricato dal browser.


Una analisi Fiddler mostra poi una serie di redirects che puntano ai contenuti di phishing


In pratica chi aprisse l'allegato presente in mail vedra' 


come contenuto visualizzato localmente, ma in realta' i forms di phishing presentati dal browser risulteranno essere quelli su (notare il tentativo di creare url dal nome ingannevole https://credembank....... )


Una analisi dei contenuti del sito compromesso che ospita il phishing mostra anche riferimenti ad azione di hacking:


La struttura del phishing, come detto, risulta simile ai precedenti Credem con


a cui segue


e


Una volta confermati i dati, Fiddler non ci mostra il tipico redirect diretto al legittimo sito Credem, ma l'utilizzo del sito href.li.


Il servizio fornito da href.li permette di rendere 'anonimo' il referrer collegato al sito di provenienza di chi visita una pagina web.


Ricordo che il referrer e' 
“..... l'URL di un elemento che conduce all'elemento corrente: ad esempio, il referer di una pagina HTML puo' essere un'altra pagina HTML. In sostanza, esso rappresenta la fonte dalla quale un utente e' venuto a conoscenza di una pagina. Il referer e' parte integrante di una request HTTP inviata dal browser al webserver.....” (fonte Wikipedia) 

In questo caso, quindi, l'uso di href.li potrebbe essere semplicemente utilizzato dai phishers, proprio per nascondere, a chi amministra il reale sito Credem, la provenienza da sito di phishing di chi viene rediretto alla fine della sequenza di forms fraudolenti.
Attraverso una analisi dei referrer di chi si connette al legittimo sito Credem si potrebbe infatti monitorare l'attivita' dei phishers, rilevando quanti siano gli utenti che si connettono come conseguenza di una 'visita' al sito fraudolento di phishing.

Edgar

mercoledì 29 gennaio 2014

Ritorna il phishing simile a quello ai danni di venere.com, ma con aggiornato layout. (29 gennaio)

Chi segue il blog ricordera' le segnalazioni dei numerosi casi di phishing ai danni di Venere.com sotto forma di cloni che riproducevano la pagina di login al servizio in lingua italiana.
Ricordo che venere.com e' un sito di servizio online di prenotazione hotels, agriturismo ecc.... legato al gruppo di aziende facenti parte di Expedia.

Ecco il clone di phishing presente online


Come si nota invece che la pagina di login a venere.com i phishers hanno riprodotto quella di login a Expedia Partner Central, estendendo di fatto il possibile target dell'azione di phishing.
Nella  fake pagina di login si vede infatti come tra i vari riferimenti sia compreso anche quello a venere.com


Questo l'originale pagina di login dove a parte il medesimo layout si nota chiaramente l'url legittima e l'utilizzo di HTTPS


Il clone e' ospitato su IP


mentre il response header della fake pagina di login mostra data recente 


Una volta confermati i dati di accesso si viene rediretti sul legittimo sito di venere.com, 


a conferma dello stretto legame tra questo phishing ed i precedenti venere.com

Edgar

lunedì 27 gennaio 2014

Segnalazione sul DB blog. Malware sotto forma di fake PDF e con il supporto di caratteri 'underscore' (27 gennaio)

Segnalati sul Db del blog, da un lettore che ringrazio, 


una serie di links a files ZIP con la nota struttura attribuibile a file con contenuti malware sotto forma di eseguibile fatto passare per file PDF.


Mentre sino a poco tempo fa il riconoscimento da parte dei softwares in VT di questi files linkati, era nullo nullo, attualmente ci sono 2 soli softwares AV che parrebbero rilevare i contenuti malevoli.


Passando il file come l'originario ZIP il riconoscimento e' piu' elevato in quanto viene individuato il file ZIP come possibile supporto al file malware.


In compenso abbiamo tutti gli indizi che si tratti di file eseguibile con contenuti malevoli considerando che:
I files fake PDF tutti con il medesimo valore MD5 e quindi identici nei contenuti, presentano differenti nomi ingannevoli
E' presente la consueta caratteristica di avere l'estensione .exe mascherata da una lunga sequenza di caratteri underscore  (cosa molto vista in passato in casi analoghi
Come si nota bene da questo screenshot l'estensione exe non compare


Una analisi VT mostra diverse varianti del nome di file pur mantenendo uguali contenuti.


La cosa pero' piu' particolare e' che la 'signature' dei fake PDF mostra un nome di applicazione legittima


cosa che si nota chiaramente nelle caratteristiche del file eseguibile


La 'signature' e' identica a quella di questo software


come vediamo in una analisi dell'eseguibile scaricato dal sito legittimo e passato a VT


Chiaramente l'eseguibile e' quello di applicazione legittima e non certo file malware.

Il  fatto che i files malevoli abbiano stessa 'signature' potrebbe essere uno stratagemma per mascherarne meglio i contenuti malware.
Inoltre se consideriamo come si presentano i testi che accompagnano i links in mail, testi che invogliano a scaricare e visionare i contenuti dei files ZIP, siamo certamente di fronte all'ennesima distribuzione malware simile alle numerose gia' viste in un recente passato.

Edgar

Siti IT compromessi (27 gennaio)

Questa mattina (ora thai) un sito di Comune italiano hostato su 


risulta compromesso con un parziale defacement relativo ad alcuni sotto-domini (ed in un caso un dominio) linkati nella homepage


Questa la pagina di hacking che sostituisce i contenuti della homepage relativa ad uno dei sottodomini compromessi


ed anche


ecc...


Questo invece il dominio compromesso


sempre linkato dalla homepage del sito comunale


Ecco il report generato tramite tool Autoit, che evidenzia il dominio ed i sotto-domini coinvolti


Edgar

sabato 25 gennaio 2014

Phishing Carrefour via SMS. Nuova segnalazione sul DB del blog (25 gennaio)

Segnalato sul DB del blog, da un lettore che ringrazio, un nuovo caso di phishing via SMS che sfrutta l'ormai ben noto fake messaggio del BUONO SPESA.



Il phishing e' supportato da un nuovo dominio dal nome ingannevole che propone il solito layout gia' visto in passato


e che risulta registrato da pochi giorni


Il clone e' hostato come i precedenti su 


Anche questa volta si utilizza, per  i contenuti di phishing,  un frame


che punta a dominio .TV registrato il 14 gennaio


Un whois mostra che il dominio usato a supporto del frame e' hostato su 


Per quanto si riferisce alla struttura del phishing, e' praticamente identica alle precedenti, con tutta la sequenza di form di richiesta dati personali, di credenziali di carta di credito e Verified By VISA.

Anche i reposnse headers sia del clone 


che quello relativo al frame 


confermano le date di creazione dei domini ingannevoli di phishing.

Attualmente risulta pure attivo un altro clone Carrefour usato in passato ed inoltre un altro dominio ingannevole e' registrato ed online ma senza contenuti di phishing.


Una delle ipotesi e' che si tratti di dominio dal nome ingannevole 'di riserva' in attesa di ospitare i contenuti di phishing Carrefour quando gli altri domini fossero messi off-line.

Phishing Carrefour via SMS. Una nuova segnalazione di un lettore del blog che indica l'uso di nuovo dominio creato ieri (05 gennaio)

Ricordo che per chi volesse segnalare casi di phishing, distribuzione malware, siti dai contenuti dubbi ed hacking e' sempre disponibile il form cliccando QUI.
Nel limite del tempo a disposizione  i casi piu' interessanti saranno oggetto di un post di analisi pubblicato sul blog.

Nuova inclusione di pagina di hacking su grande numero di siti IT (25 gennaio)

Piu' di 60 siti IT hostati su


presentano questa mattina (ora thai) l'inclusione di pagina di hacking 


Si tratta di layout simile a quello visto ieri che vedeva oltre 100 siti compromessi ma su differente hoster.
Il report tramite tool Autoit evidenzia l'elevato numero di siti compromessi


mentre il 'response header' mostra data molto recente per la probabile azione di hacking.


Edgar