martedì 29 luglio 2014

Inclusione di pagina di hacking su siti IT (29 luglio)

Almeno 36 siti IT hostati su ip in range IT


presentavano questa mattina (ora thai) inclusa questa pagina di hacking


Si tratta di tipica pagina di hacking con riferimenti anche agli avvenimenti medio orientali.
Questi i risultati di una scansione eseguita tramite tool Autoit, dei domini rilevati con reverse IP 


mentre ecco un dettaglio del numero totale dei record generati dallo script.


Come sempre trattandosi di pagine incluse e nascoste ai visitatori dei siti colpiti e' possibile che le stesse rimangano online per diverso tempo, dimostrando comunque la presenza di problemi di vulnerabilita' o comunque problemi di sicurezza, che potrebbero essere usati  a supporto  di phishing, inclusione di codici malware, hosting di files dal contenuto malevolo, inclusione di codici di pharmacy ecc.....

Edgar

mercoledì 16 luglio 2014

Ritornano le mails con allegato file malware (16 luglio)

Nuovamente attivo lo spam malware ai danni di utenti IT della rete.

Questa una delle mail ricevute 


che attraverso un testo che informa dell'allegata foto, tenta di far cliccare ed eseguire in realta' un file malware.

Ecco gli headers presenti in mail


Per quanto si riferisce all'allegato si tratta di un file zip che contiene il 'solito' eseguibile .scr (vedi post precedenti)


e che ad una analisi VT vede un veramente basso riconoscimento, al momento della ricezione della mail


Passata qualche ora abbiamo un maggiore riconoscimento malware, come si vede da questa ulteriore analisi VT


Da notare come la mail presenti vari indirizzi di mailbox tutti comunque IT a cui e' stato inviato il fake file foto.


Quasi si trattasse di una azione coordinata, dopo qualche ora sono state ricevute diverse mails, questa volta in lingua inglese, che a grandi linee, ricalcano la mail descritta in precedenza.
Qui vediamo alcuni layout


dove invece che la fake foto viene indicato un allegato relativo a pagamento o acquisto ma anche nel testo un riferimento al nostro passaporto, tutti argomenti volti a farci cliccare sull'eseguibile malware allegato.

Le analogie con lo spam IT sono diverse come ad esempio l'uso di files .scr 


ed anche l'invio multiplo a diversi utenti internet anche se questa volta non solo IT.
Da notare poi come in queste ultime mail siano stati inseriti ben due allegati, uno informato zip e uno in formato rar quasi a cautelarsi che chi riceve il messaggio abbia comunque una alternativa per visionare il file allegato.
In queste recenti mails una analisi VT mostra un quasi nullo riconoscimento malware


ed anche


mentre una analisi md5 mostra che i files sono gli stessi nelle due mails analizzate pur presentando differente nome dell'allegato


Gli headers di questo secondo gruppo di mails vedono IP


e


In definitiva un intenso spam che nella semplicita' dei messaggi mail potrebbe comunque essere abbastanza  'efficace' visto anche il quasi nullo riconoscimento da parte degli AV nelle prime ore di invio delle mails.

 Edgar

giovedì 3 luglio 2014

Foto. Altro tentativo di spam malware simile a quello segnalato il 2 luglio (3 luglio)

Si potrebbe anche classificare come '..mal riuscito...' il tentativo di spam malware odierno



in quanto , come si nota, non e' presente nessun allegato contenete file malevolo.
Non esistono neanche evidenze, nel source della mail, che l'eventuale allegato sia stato filtrato da qualche controllo antispam effettuato dal server di posta, e quindi l'ipotesi piu' attendibile e' che, almeno per questa volta, gli spammers abbiano commesso qualche errore.

Sia l'oggetto mail 'foto' , che il testo del messaggio 'inviato dal mio Nexus' (entrambi in lingua italiana) fanno pensare ad una mail simile a quella ricevuta ieri, anche se il caso odierno presenta invece che un unico indirizzo a cui e' inviata la mail, una serie di mailbox che parrebbero seguire l'ordine alfabetico dei destinatari, con indirizzi comunque tutti appartenenti a utenti IT della rete.
Potrebbe quindi trattarsi di una gestione dello spam da parte di differenti personaggi, ma con l'uso di kit simili se non di uguale origine.

Anche l''header' mail e' differente da quello rilevato ieri e mostra il secondo IP su range italiano


In ogni caso parrebbe essere in atto una nuova 'campagna' di distribuzione malware ai danni di utenti IT della rete che potrebbe vedere nelle prossime ore l'invio di altre mail dal contenuto simile.

Edgar

mercoledì 2 luglio 2014

Chi e questo nudo con voi????!. Ennesima mail fake con tentativo di far eseguire il file malware allegato (2 luglio)

Il testo della  mail e' di quelli ben noti che tentano di incuriosire chi la ricevesse, invogliandolo ad eseguire il file .scr fatto passare come foto.


L'header mail non mostra niente di particolare 


se non il fatto che il primo IP e' Thai

Questo il contenuto del file zip allegato, con in evidenza il  fake file di foto, in realta' file eseguibile con estensione scr.


Ricordo che l'estensione .SCR e' stata associata da Microsoft a contenuti di Screen Saver ma poiche' il file .SCR e' a tutti gli effetti un eseguibile questo tipo di file e stato usato, specialmente in passato, come mezzo di diffusione di malware

Una analisi VT mostra, come c'era da aspettarsi un molto basso riconoscimento dei contenuti malware.


Chiaramente il pericolo di questo genere di spam malware deriva sia dal fatto che i softwares Av potrebbero non riconoscere il contenuto malevolo del file ma anche dalla possibilita' che chi riceve la mail, per curiosita', estragga il contenuto del file zip e, pensando si tratti di una fotografia, cerchi di visualizzarla lanciando in realta' l'eseguibile malware.

Edgar