venerdì 30 maggio 2014

Attuale azione di 'porn hacking' che coinvolge diversi siti di P.A. Italiana tutti sul medesimo IP (30 maggio)

Una ricerca in rete trova riferimenti ad attuale azione di 'porn hacking' estesa a diversi siti comunali IT tutti probabilmente hostati su medesimo server regionale.
Ricordo che per 'Porn Hacking' si intende, ad esempio, la presenza nel codice delle pagine web, quasi sempre in maniera nascosta, di link a siti che distribuiscono contenuti porno.
Lo scopo e' quello di diffondere in rete il maggior numero di links che verranno indicizzati dai motori di ricerca.

Vediamo alcuni dettagli:
Questo un whois di uno dei siti comunali coinvolti


Attraverso un reverse IP ed una scansione eseguita con tool Autoit dei siti trovati, e filtrando opportunamente  i sources scaricati,  viene generato questo report 


dove possiamo notare la presenza nei sources di termini e links di natura porno, per quasi tutti i siti hostati sullo stesso IP.

Una analisi piu' dettagliata 


evidenzia il codice posto a fine pagina che nasconde la visualizzazione dei links a chi visita il sito normalmente.

Edgar

Sito comunale IT compromesso utilizzato per phishing Apple (30 maggio)

Come gia' visto parecchie volte gli attacchi di hacking rivelano quasi sempre la presenza di vulnerabilita'  che possono anche essere usate per differenti scopi  (phishing, host di files malevoli, redirect a malware ecc....) oltre che alla semplice inclusione di pagine con “proclami” di vario genere.

E' il caso attuale di questo sito comunale IT


con whois 


Il sito include almeno due codici di hacking rispettivamente in


ed


Il response header della pagina vede risalire a circa un mese fa' la probabile azione di hacking


cosa che viene confermata da una  ricerca con l'utilizzo di sito che elenca azioni di hacking 


E'  evidente come le pagine incluse siano nascoste sia ai visitatori del sito comunale sia a chi lo amministra e risultino quindi presenti dal 1 maggio senza che ci sia stata una bonifica dei contenuti di hacking.

Non sorprende quindi che ulteriori ricerche sul sito comunale evidenzino questo attuale form fake, dal layout molto curato,  collegato ad azione di phishing ai danni di Apple


ed ospitato in un subfolder relativo proprio ad una delle pagine di hacking.

Una volta acquisiti i dati richiesti si viene rediretti sul legittimo sito Apple iTunes


E' comunque molto probabile che l'inclusione del clone di phishing Apple sia attualmente gestita non dai medesimi personaggi che hanno incluso le pagine di hacking, anche perche' la segnalazione in rete del phishing risale a poche ore fa.

Edgar

martedì 27 maggio 2014

Foto. Inviato dal mio blackberry. Mail con allegato malware attualmente distribuita in rete. (27 maggio)

Si tratta di questa mail 


che presenta sia oggetto che testo veramente ridotti 'ai minimi termini'.

Il messaggio si presenta infatti con semplice testo “ Inviato dal mio blackberry' che vorrebbe far passare il contenuto del file ZIP allegato come una fotografia.
Il contenuto del file compresso risulta anche ingannevole proprio per l'estensione .SCR usata dal file


Ricordo che l'estensione .SCR e' stata associata da Microsoft a contenuti di Screen Saver ma poiche' il file .SCR e' a tutti gli effetti un eseguibile questo tipo di file e stato usato, specialmente in passato, come mezzo di diffusione di malware 

Uan nalisi dell'heder mail mostra IP 


con secondo IP italiano.

L'analisi del contenuto del file ZIP attraverso VT rileva



con basso riconoscimento dei contenuti malevoli del file, cosa molto diffusa  nelle prime ore di  distribuzione di nuovi files malware.
Da quanto segnala VT lo stesso file ZIP sarebbe presente online anche con differente nome


Considerando il basso riconoscimento malware, la brevita' del messaggio, e non ultimo, l'uso di file con estensione ingannevole .SCR, non e' da escludere che questo spam potrebbe trarre in inganno chi ricevesse la mail invogliandolo a cliccare sul fake file foto, con tutte le conseguenze del caso.

Edgar

lunedì 12 maggio 2014

Virus Alert (notifica finale) e Risposta dal forum. Due differenti tipologie di fake mail in lingua IT (12 maggio)

Nelle ultime settimane si nota un aumento di fake mails dai contenuti malware o che tentano di sottrarre credenziali di account di posta elettronica e che hanno in comune il fatto di essere tutte in lingua italiana.
Anche se il testo presenta diversi errori il fatto che sia comunque venga usata al lingua italiana dimostra come ci sia una  rinnovata 'attenzione' agli utenti IT della rete.
I messaggi, per lo piu' molto brevi, cercano con differenti argomenti di convincere che ricevesse la mail a scaricare ed eseguire files dal nome ingannevole linkati su siti compromessi oppure a notificare i dati di accesso alla propria mailbox.

Vediamo i dettagli.

Questa la mail 


con IP header come


e con testo che vorrebbe proporre una 'risposta' ad una nostro quesito postato su un non meglio identificato forum.
Come si nota non esiste neanche un link attivo ma lo stesso link alla 'risposta' e' solo del testo che andrebbe copiato nel browser per attivare il download di un file ZIP 


contenente l'ormai ben noto file malevolo con estensione exe mascherata da lunga sequenza di caratteri 'underscore' (vedi numerosi precedenti posts).

Si tratta di file i cui contenuti dovrebbero essere stati 'aggiornati' da pochissimo almeno considerando che VT mostra che l'attuale analisi eseguita e' la prima per questo ZIP.


Il riconoscimento dei contenuti malevoli e', come quasi sempre in questi casi, abbastanza basso.


Ecco invece un'altra mail


sempre in lingua italiana che prende di mira gli accounts degli utenti Tiscali in quanto il testo riporta espressamente il fatto di essere inviato da un supporto tecnico Tiscali e nel testo leggiamo, anche se in pessimo italiano,  “...........Un virus DGTFX e' stato rilevato nelle Tiscali cartelle e-mail. …........” volendo far credere che la nostra mailbox ha problemi legati alla presenza di un virus.
In questo caso non esiste nessun form allegato ma chi ha creato la mail chiede di inviare i dati richiesti compilando un form che in realta' non esiste:

”…...........................Fare clic sulla scheda risposta, compilare le colonne di seguito e rispondere di nuovo a noi o il vostro account di posta elettronica verra' chiuso per evitare la diffusione del virus. 

Email: 
Nome utente: 
Password: 
Riconfermare Password: …..........”

A meno che per qualche loro errore i phishers non abbiano inserito un allegato a supporto della mail fake, pare di capire che chi a creato il testo confidi nel fatto che venga risposto alla mail fornendo i dati richiesti  

 “.....................e rispondere di nuovo a noi …..................”

Si tratta quindi di mails dai contenuti veramente minimi, se si considera l'assenza di link ipertestuale  attivo (caso email malware) o di form allegato per acquisire i dati richiesti (caso messaggio che informa della nostra mailbox infettata da virus), messaggi che comunque essendo in lingua italiana potrebbero risultare ingannevoli per chi li ricevesse.

Edgar

Inclusione di pagina di hacking su siti IT (12 maggio)

Sono piu' di 100 i siti IT hostati su 


che presentano attualmente inclusa questa pagina di hacking


Una analisi del 'response header' mostra time recente per l'azione di inclusione


Questi i risultati di una scansione eseguita tramite tool Autoit, dei domini rilevati con reverse IP 


mentre ecco un dettaglio del numero totale dei record generati dallo script che ne evidenzia l'elevata quantita' (111)


Come sempre trattandosi di pagine incluse e nascoste ai visitatori dei siti colpiti e' probabile che le stesse rimangano online per diverso tempo, dimostrando comunque la presenza di problemi di vulnerabilita' o comunque problemi di sicurezza, che potrebbero essere usati  a supporto  di phishing, inclusione di codici malware, hosting di files dal contenuto malevolo, inclusione di codici di pharmacy ecc.....

Edgar

giovedì 8 maggio 2014

Re: Pagamento # Ancora mails con link a file malware ai danni di utenti IT della rete (08 maggio)

Nuova mail con link a file .ZIP


contente l'ormai ben noto file malware che maschera l'estensione EXE attraverso un nome con lunga sequenza di caratteri underscore ' _ '

Ecco come appare l'icona del file estratto



che in realta' e'



Il messaggio mail odierno e' ancora piu' ridotto degli ultimi visti, senza la presenza dei fake numeri di telefono che comparivano a fine messaggio.


Questi gli IP presenti nell'header mail


Il file ZIP con contenuti malevoli


e hostato su sito compromesso che questa volta, caso non molto frequente, presenta IP di hoster IT


Questa la homepage del sito IT che ospita il file ZIP


Si tratta di sito sviluppato in WordPress


Il riconoscimento dei contenuti malevoli da parte dei software AV, risulta essere, ancora una volta, molto basso


con


e questo specialmente nelle prime ore di distribuzione del malware.

Edgar

mercoledì 7 maggio 2014

Falso login ai servizi offerti da Google in lingua italiana (07 maggio)

Negli ultimi mesi le segnalazioni di false pagine di login a servizi webmail sono notevolmente aumentate e non e' difficile trovarne anche  specifiche pagine create per una utenza italiana della rete.

Di solito questi fake layouts di login vengono linkati da mails simili a questa ricevuta di recente


e il fake login e' di tipo generico senza specificare un particolare servizio webmail


Questo garantisce ai phishers un piu' alto numero di possibili accounts di posta da colpire rispetto ad un phishing mirato ad una sola azienda.
Una volta in possesso dei dati di login i phishers potranno utilizzarli sia per visionare i contenuti della la mailbox colpita e cercare dati sensibili in essa contenuti ma anche utilizzare l'account compromesso per inviare mails allo scopo di attuare truffe online, distribuzione malware ecc...
Inoltre, come evidenzia proprio il testo presente sul fake form di login Google che andremo a vedere, lo stesso permette in realta' l'accesso a tutti i servizi Google aumentando i rischi per chi avesse fornito le proprie credenziali ai phishers.
Anche se l'utilizzo di uno specifico target, in questo caso Google, riduce il numero di possibili accounts da colpire, la cura posta nella costruzione del layout di phishing permettera' comunque di avere una pagina piu' ingannevole che se si trattasse di un  generico form di login, come visto in premessa.

Vediamo alcuni dettagli:

Ecco come appare il fake login Google


Il clone e' ospitato su sito ampiamente compromesso con whois


ed e'  raggiungibile tramite redirect ottenuto sfruttando questo servizio di 'free URL redirection'


Notate come sia possibile specificare un dominio .IT tra quelli disponibili, cosa che e' stata utilizzata dai phishers che hanno creato due URL di redirect trovate tramite l'analisi delle statistiche online del sito che ospita il clone


Le stesse statistiche, molto dettagliate, permettono di acquisire gli indirizzi IP delle connessioni al sito che ospita il clone ed evidenzino come sia presente un elevato numero di connessioni dall'Italia


cosa che farebbe pensare ad una azione di phishing molto efficace relativamente alla possibile acquisizione di credenziali di login a Google.
Le stesse statistiche permettono di rilevare la presenza di altre pagine di login Google in diverse lingue


ed anche


ed un riferimento a Yahoo.


Come c'era da aspettarsi una analisi dei contenuti del sito  compromesso dai phishers, mostra diversi tools php, uploadati probabilmente a supporto del phishing come questi mailers


e


ed ancora


C'e' anche da rilevare come, sempre attraverso le statistiche online, gia' almeno dallo scorso mese di aprile,  parte dei cloni trovati fossero attivi.

Edgar