giovedì 30 aprile 2009

“Pizza Malware” e fake Google page

Ricordo sempre che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti in questione se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!

“Pizza Malware”, si potrebbe anche chiamare cosi' il guestbook appartenente ad una pizzeria italiana, che si dimostra una fonte inesauribile di link sia a malware che ad una versione fake di Google veramente 'ben fatta'.

Vediamo alcuni dettagli:

Ecco l'ultima pagina online del guestbook di pizzeria del nord Italia con un dettaglio de messaggi presenti che evidentemente vengono inseriti senza troppi plobemi anche se e' presente un sistema di captcha che dovrebbe evitare lo spam.


Sia dall'argomento trattato dai singoli post che dal nome degli autori ci vuole poco a capire di che genere di messaggi si possa trattare e la probabile pericolosita degli stessi.

Infatti parecchi dei links puntano a differenti siti che simulano blog o forum con inseriti al loro interno falsi player video che dovrebbero proporre filmati porno di celebrita' dello spettacolo ecc.. ma che in realta' redirigono a sito che distribuisce malware.


Tra l'altro se vediamo ad esempio il nome di un ipotetico utente registrato su questo pseudo forum ... si vede che si tratta di nome che richiama fatti di cronaca attuali (swine flu) cosa che confermerebbe la data recente della creazione di questi falsi siti...

Nella quasi totalita' dei casi si viene rediretti su questa pagina di falsi filmati a carattere porno che presenta un layout molto curato

e che come vediamo da questo screenshot

contiene unicamente decine di links a falso codec che VT

dimostra essere ben poco riconosciuto da una scansione online eseguita dai principali softwares AV.

Un whois del falso sito di filmati punta a


Nel guestbook sono pero' presenti anche altri links, per qualche verso piu' interessanti dei primi che abbiamo appena visto.

Si tratta di link che tramite un primo redirect puntano a pagina che contiene un codice offuscato

che deoffuscato


effettua un secondo redirect particolare su

passando anche un testo di 'query' che verra' a sua volta inviato ad un sito che simula perfettamente il motore di ricerca Google.


Come si vede il nome che appare in URL e' in realta' googie.su, con la i al posto della l, e c'e' da dire che guardando distrattamente l'indirizzo presente nel browser e' facile venire ingannati specialmente se i fonts usati risultano di piccole dimensioni

Come vediamo il falso Google possiede una homepage

che e' curata anche nell'uso di favicon esattamente identica a quella originale del noto motore di ricerca ed inoltre il layout simula perfettamente la pagina originale.

E' evidente che l'uso di una pagina per cosi' dire di 'phishing Google' serva per redirigere chi la visita su specifici siti dai dubbi contenuti.

Questo il whois della pagina 'googie.su'

Edgar

Ancora phishing cartaSi (30 aprile 09)

Quella che vediamo e' l'ultima di una lunga serie di mails di phishing ai danni di CartaSi

La particolarita' piu' interessante che dimostra l'elevato grado di 'fantasia' di chi crea queste mails e' la provenienza dell'immagine del logo CartaSi inserito nel messaggio della mail di phishing

Esaminando infatti il link che punta all'immagine jpg si scopre che e' quella presente su una pagina del sito di una grande catena di hotels italiani. Questo lo screenshot della pagina 'sorgente' dell'immagine del logo CartaSi.

Per quanto si riferisce al link a sito di phishng presente in mail

http://60.240.0.94/carta.html

questo punta a sito australiano che provvede ad un redirect su sito USA (in fase di costruzione)

che ospita al suo interno il sito di phishing CartaSi.

Il sito di phishing accetta qualunque dato inserito senza eseguire alcun controllo per redirigere poi sul reale sito di CartaSi.

Edgar

Hacking siti P.A.

Ancora numerosi i siti web di Amministrazione Pubblica Italiana (in genere Comuni) che presentano la homepage o pagine interne al sito con inserimento di scritte che ne evidenziano l'attacco subito e la parziale compromissione.

Ecco alcune esempi odierni

Questo sito comunale del nord Italia presentava oggi alcune pagine tra cui la home con inserite alcune scritte che ne indicavano l'hacking subito


ed anche
Questa invece una pagina di altro sito comunale con evidenti segni di compromissione

mentre questo sito su server di importante comune italiano presenta numerose pagine che hanno parte del testo originale sostituito con


Anche se, almeno su questi siti visti ora, il problema si limita all'aggiunta di testi o alla sostituzione di parti delle pagine con scritte che ne rivelano l'hacking subito, c'e' sempre da ricordare che le vunerabilta' presenti potrebbero essere sfruttate per azioni ben piu' pericolose (phishing, distribuzione di links a malware ecc...)

Edgar

mercoledì 29 aprile 2009

'Nuova influenza', spam e nuovi domini

In parallelo al diffondersi delle notizie sulla 'nuova influenza' sono comparse in rete mails di spam che, come sempre quando accade qualcosa di importante su scala mondiale, cercano di approfittare del momento favorevole.

Si tratta in genere di mails con links a siti di pharmacy, che tra l'altro potrebbero approfittare della diffusione del virus influenzale per proporre i relativi farmaci, oppure mails con links a veri e proprio siti che distribuiscono malware

Ecco ad esempio , la mail pubblicata da www.avertlabs.com

dai differenti testi in oggetto:

First US swine flu victims!
US swine flu statistics
Salma Hayek caught swine flu!
Swine flu worldwide!
Swine flu in Hollywood!
Swine flu in USA
Madonna caught swine flu!

Al momento sembra che la maggior parte di queste mail tentino di redirigere chi le riceve su siti di “Canadian Pharmacy” ma non e' neanche da escludere che possano in futuro tentare di far scaricare files eseguibili malware.

F-secure ha pubblicato una lunga lista di domini registrati in queste ultime ore che ricordano nel testo della url l'argomento influenza.


Come si vede se si esegue una analisi dei siti in lista raccogliendo lgli screenshot sdelle relative homepages, nella maggior parte dei casi si tratta di domini registrati in attesa ancora di qualche acquirente

Ed ecco, ad esempio, un dettaglio di uno nomi di dominio in vendita

Si tratta quindi, almeno per ora, anche di operazioni commerciali che cercano di sfruttare il momento favorevole per proporre domini che sicuramente nei prossimi giorni compariranno sempre piu' spesso anche nei risultati delle ricerche in rete.

Edgar

Phishing CartaSi 29 aprile 09

Ricevuta mail di phishing ai danni di CartaSi

che tramite redirect su

che presenta il seguente codice che punta in maniera automatica a sito cileno.

Particolare della home del sito con whois cinese

che lascia qualche dubbio sul fatto che si tratti di sito compromesso ma sia invece usato espressamente per azioni di phishing., visto lo strano layout che presenta

Questo invece un whois del sito cileno compromesso

che propone la falsa pagina di login a CartaSi

Edgar

lunedì 27 aprile 2009

Aggiornamento Waledac 27 aprile 09

Da qualche ora buona parte dei domini Waledac che proponevano il falso sito di software per spiare gli SMS, eseguono ora solo un redirect a diverse url di sito di pharmacy (vendita online viagra e derivati...ecc...)

Ecco un report Webscanner di alcuni domini Waledac

che come si vede propongono questo semplice codice

che redirige in maniera automatica a diversi siti tra cui

con questa homepage


E' probabile che si tratti di una pausa nella distribuzione di malware in attesa di nuovi temi da proporre attraverso mails di spam.

Edgar

Phishing Banca Fideuram 27 aprile 09

Sempre molto attivo il phishing ai danni di utenti italiani e che vede oggi anche, tra le tante, questa nuova mail di phishing Banca Fideuram.

Tra l'altro osservando l'oggetto della mail di phishing

si nota una stretta analogia con l'oggetto della mail di phishing ricevuta ed analizzata sempre in data odierna ed ai danni di PosteIT.

Come curiosita' abbiamo che il link in mail

href="http://thcc.or.th/lndex.html

punta a sito Thai (da queste parti) ed evidentemente compromesso

che presenta codice che redirige su altro sito compromesso con whois USA.

La pagina di phishing e' simile ad altre gia' analizzate in precedenza

e dopo un semplice falso login punta a sito ufficiale di Banca Fideuram.

Edgar

Phishing Poste.IT 27 aprile 09 con alcune interessanti caratteristiche

Ricevuta nuova mail di phishing ai danni di PosteIT che si rivela interessante per i link proposto nel testo della mail stessa.

Questa la mail

che presenta un link diretto al sito di phishing che e' stato 'installato' su sito compromesso USA e piu' precisamente in un subfolder che e' in relazione con il Guestbook del sito stesso

Come vediamo dallo screenshot della struttura, i creatori hanno 'installato' sia un sito di phishing ai danni di PosteIT che uno ai danni di CartaSi.
Inoltre come si vede, sono presenti i relativi files zip

con il contenuto utile all'installazione dei rispettivi siti di phishing.

E' interessante notare ad esempio il contenuto del file dati compresso riferito a PosteIT

Possiamo vedere che si tratta di files datati, 2007 tranne uno, che e' poi quello utilizzato per referenziare l''indirizzo mail a cui inviare il contenuto dei dati acquisiti dal login

Come si vede e' presente una mail che potrebbe anche essere quella realmente utilizzata per trasmettere attualmente a chi ha oraganizzato il phishing i dati acquisiti in maniera fraudolenta
La data del file sender.php infatti risale solamente ad ieri.

Per il resto sia il sito PosteIt fasullo che quello CartaSi sono attivi e perfettamente funzionanti.

Anche se la mail ricevuta riguarda solo phishing PosteIt e' altamente probabile che siano in 'distribuzione' anche mails che puntano al sito di phishing CartaSi presente sul medesimo sito compromesso.

Edgar

Hacking 27 Aprile 09

Ancora siti .IT compromessi con sostituzione della homepage:

Su questo IP

con la sostituzione della home con


ed anche con pagina che presenta una semplice scritta che evidenzia l'hacking subito.

Ecco il report che evidenzia i due diversi attacchi sul medesimo IP

Questo un altro IP colpito

con la home sostituita da

ma anche da

Anche in questo caso il report evidenzia due differenti attacchi

Per finire una homepage con alcune 'scritte' che rivelano l'hacking subito

e che ha la particolarita' di essere hostata sul server della nota azienda automobilistica italiana.

Edgar