pagina di errore 404 con evidenziato il box di input

La shell nascosta

Nella maggior parte dei casi di phishing si assiste all’inserimento delle pagine fraudolente, da parte dei criminali, in siti web di privati e società violati attraverso i modi più diversi.

Una volta guadagnato l’accesso allo spazio di hosting i criminali sono naturalmente interessati a mantenerlo ed a tal fine fanno spesso uso di shell php, tipo le note c99 o r57

immagine da honeynet.org

 

immagine da stopthehacker.com

 

ma ne esistono naturalmente di molto più complesse, con maggiori e più complete funzionalità.

Il cyber criminale ha naturalmente tutto l’interesse a non condividere l’accesso allo spazio di hosting conquistato, in particolare se la violazione non è avvenuta attraverso una vulnerabilità di facile individuazione, tenterà così di celare la propria shell e di proteggerla con l’uso di una password.

Durante l’analisi di uno dei siti web contenenti pagine di phishing, uno dei plugin/estensioni del browser utilizzato come password manager ha svelato la presenza del box di login ad una shell camuffata da pagina di errore 404.

Alla richiesta di una pagina inesistente, la pagina di errore restituita presentava nel mezzo dello spazio bianco il tipico asterisco con cui l’estensione password manager del browser permette di accedere alle opzioni di completamento dei box di input. 

pagina di errore 404 con evidenziato il box di input

 

Esaminando il codice della pagina si ha conferma della presenza del box di input destinato ad accogliere la password e della modalità banale con cui è stato reso non visibile.

codice sorgente della pagina di errore

 

Il sito in questione è basato su un noto cms. Ricercando la pagina 404.php relativa al tema grafico in uso si ottiene qualche informazione in più

pagina 404.php

 

evidenziando nello specifico un errore alla linea 2267 …davvero troppe per il sorgente di una pagina 404.

Se l’estensione password manager non fosse stata attiva, come nello screenshot sottostante, la presenza del box di login alla shell sarebbe passata inosservata.

nessun box di input visibile 

 

/da
pagina fraudolenta

Phishing Apple, la minaccia crescente

Dall’inizio dell’anno D3Lab ha attivato il proprio monitoraggio sui tentativi di frode on-line della tipologia phishing ai danni degli utenti Apple.

I numeri sono quelli di un fenomeno in salita ….in fortissima salita.
Dall’inizio dell’anno D3Lab ha rilevato oltre 40 differenti url di attacco, con l’impiego di 36 dominio principali e 16 secondari, costituenti questi ultimi le destinazioni di attacchi con redirect.
In 3 diversi casi i siti, compromessi, contenenti le pagine clone disponevano di certificati SSL validi e questo ha consentito ai criminali di proporre alle vittime pagine web nelle quali saltava all’occhio, nella barra degli indirizzi del browser, l’indicazione verde ed appariscente  “https”.

pagina fraudolenta

 

 

 

Il phishing ai danni degli utenti Apple si sta dimostrando estremamente letale.

La mails di attacco di cui trattiamo in data odierna, presentano le seguenti caratteristiche

mail fraudolenta

 

 

 

Oggetto: Apple ID e stato disabilitato per ragiono di sicurezza

corpo della mail (html):

—————————————————————————–

Apple ID e stato disabilitato per ragiono di sicurezza

Caro cliente,

Qualcuno ha provato a entrare sul tuo account Apple da un altro indirizzo IP 217.156.2.01 .

Cortesemente verifica la tua identita oggi, altrimenti il tuo account verra disabilitato

per le nostre preoccupazoni sulla sicurezza e l’integrita della comunita Apple.

Per verificare la tua identita , ti raccomandiamo di andare su:

Verifica Ora >

Grazie,

Apple Customer Support.

Copyright 2014 iTunes, Inc. Tutti i diritti riservati.

—————————————————————————–

dove la dicitura “Verifica Ora >” cela il link malevolo ad un file php operante quale redirect verso pagine clone posizionate in un sito appartenente ad un dominio dotato di certificato SSL valido.

Questa si sta dimostrando essere la metodica standard di un gruppo criminale ben rodato, operante sin dal 2012 con attacchi a danno di PayPal Italia, Carta Sì, Poste Italiane e dell’ente riscossione tributi danese SKAT.

Ad incrementare la letalità di questa tipologia di attacco è il fatto che i criminali hanno implementato codice per verificare l’effettiva esistenza dell’account Apple e solo se tale verifica ha esito positivo procedono con la richiesta degli ulteriori dati.

Il dramma è che pagine di phishing di questo tipo sembrano avere una certa persistenza, risultando attive per più giorni.

D3Lab ha condotto, in sette giorni. un parziale monitoraggio di due casi riferibili alla fattispecie sopra descritta, rilevando 170 codici di carte di credito, validi secondo l’algoritmo di Luhn, catturati dai criminali ad ignare vittime.

numeri di carte di credito frodati agli utenti Apple

 

A ciò va sommato il possibile esproprio dell’account Apple. Quanti dati vi sono riposti??

In data odierna D3Lab ha cercato di evidenziare il problema ad Apple Italia. Al momento non si è ricevuta alcuna risposta.

/da
mail fraudolenta

Phishing pasquale per Banca Popolare di Milano

Non esistono vacanze per i criminali che nella domenica di Pasqua hanno portato un nuovo attacco di phishing a danno dei clienti di Banca Popolare di Milano.

La mail di attacco

mail fraudolenta

 

partita da host russi

 

mail header

 

presenta le seguenti caratteristiche:

mittente visualizzato: “Banco Popolare di Milano S.p.A”<[email protected]>

oggetto: Sicurezza e Protezione dalla Banco Popolare di Milano 

corpo del messaggio (plain text):

————————————————————-

Per ragioni di Sicurezza e Protezione,

e per il miglioramento del nostro servizio и necessario confermare il tuo conto.

Per questo, и necessario scaricare e compilare modulo allegato.

Banca Popolare di Milano Societа Cooperativa a r.l. Piazza F. Meda, 4 – 20121 Milano – tel. 02 77001 – P.IVA 00715120150

Iscrizione al Registro IVASS (1 febbraio 2007 n° D000027015) – Gruppo Bipiemme. Tutti i diritti riservati.

 YOQMIJRVIGPSKKIKGOIGFXDIVRHTUQCRWSFXGL

————————————————————-

come si può notare la terza riga contiene il carattere и quale errata codifica della “è”.

Come indicato nel testo della mail la stessa portava con se un allegato , costituito dal file  “Banco Popolare Di Milano DOCUMENTO.Html” che aperto in locale presentava a browser la pagina riprodotta nell’illustrazione sottostante.

 

allegato html

 

Il documento presentava la parte relativa al tag FORM offuscata. La trasposizione in chiaro evidenziava come le credenziali 

 

codice offuscato

 

venissero inviate ad un web server su ip cinese basato su Red Hat.

I nomi di file e directory utilizzati, nonché il template della mail, lasciano presumere l’attacco sia riconducibile agli autori delle recenti aggressioni a InBank ed Monte Paschi Siena.

/da
rapporto D3Lab 2013

Rapporto D3Lab 2013

Il 2013 ha visto D3Lab impegnata ad allargare la propria azione di monitoraggio degli attacchi di phishing, sviluppando propri strumenti e procedure atti a migliorare le capacità di individuazione e le possibilità di analisi degli stessi.

Nell’arco dell’anno l’azienda ha potuto potenziare le proprie funzionalità ponendo la propria attenzione su un numero maggiore di target ed analizzando una quantità sempre crescente di casi di phishing.

Le informazioni così raccolte vengono ora pubblicate nelle ventidue pagine del Rapporto D3Lab 2013, documento riassuntivo dell’attività svolta lo scorso dall’azienda. 

rapporto D3Lab 2013

 

Il documento, pensato per società ed aziende interessate ai servizi proposti da D3Lab e per il law enforcement nazionale, non è disponibile in download ma ne deve essere richiesto via mail aziendale scrivendo a [email protected].

 

indice dei contenuti

rapporto D3Lab 2013 indice contenuti

 

pagina 4

rapporto D3Lab 2013 pag. 4

 

pagina 8

rapporto D3Lab 2013 pag. 8

 

pagina 9

rapporto D3Lab 2013 pag. 9

 

pagina 17

rapporto D3Lab 2013 pag. 17

/da

BCC Romagna Occidentale, un buon contrasto

A parole tutti sono veloci ad ottenere la messa off-line di pagine di phishing, qualcuno addirittura assicura tempi di shutdown di cinque minuti.

La realtà è diversa dovendocisi scontrare con:

– difficoltà linguistiche, che possono non far comprendere pienamente quanto si sta riportando, o che possono comunque lasciare il dubbio che la mail di warining ricevuta nasconda in realtà una frode;

– fusi orari: si rileva la presenza di pagine di phishing posizionate su un server in estremo oriente quando in Italia è in tardo pomeriggio e li già notte, oppure nel continente americano quando in Italia è prima mattina e li è ancora notte. A meno che non si abbia a che fare con grandissimi provider con personale turnista, la segnalazione all’abuse office non verrà presa in carico che dopo diverse ore;

– giorni festivi, a meno che non si abbia a che fare con grandissimi provider con personale turnista, la segnalazione all’abuse office non verrà presa in carico che alla ripresa delle attività lavorative, dopo uno, due o più giorni;

– provider e gestori dei siti web sordi, o (incredibilmente) irraggiungibili;

– procedure interne farraginose o mole di abuse warning tale da comportare tempistiche lunghe;

– ecc…

 

In una delle condizioni precedenti deve essere rientrata la gestione del caso di phishing, da noi riportato il 9 Aprile scorso, a danno dei clienti della BCC Romagna Occidentale. L’attacco ha visto il posizionamento di pagine di phishing all’interno del sito web saaspoint.com presumibilmente facente capo alla Saaspoint, società acquisita nel 2011 dalla Appirio, società statunitense operante nel settore servizi ICT e Cloud, e la successiva diffusione di url di attacco contenenti fake subdomain utili a generare url univoci al fine di rendere pressoché inutili i meccanismi di warning dei browser.

url rilevati

 

I nuovi url generati dai phisher hanno sempre puntato alle medesima pagina clone, cosa non scontata, in quanto l’uso dei fake 

corrispondenza domini indirzzi ip

 

subdomain permette facilmente l’implementazione di cloni diversi posizionati su host differenti.

Gli enti colpiti (banca e/o società erogante il servizio di home banking) sono quindi intervenuti, come abbiamo in passato già visto fare ad altri, impiegando le immagine usate dai phisher nelle pagine clone e tratte dai domini legittimi per visualizzare chiari messaggi di allerta evidenzianti la natura fraudolenta della pagina che si sta visionando.

warning inseriti nelle immagini 

 

 

 

/da
mail fraudolenta

Phishing CariChieti

Come detto in precedenti post il 2014 ha presentato una recrudescenza degli attacchi di phishing, con i criminali intenti ad intensificare i tentativi di frode nei confronti di enti già colpiti, ma anche a designare nuovi target.

Il monitoraggio svolto in modo perpetuo ha permesso a D3Lab di rilevare un tentativo di phishing a danno dei clienti della Cassa di Risparmio di Chieti, che poggia il proprio home banking sulla piattaforma di CSE (Consorzio Servizi Interbancari).

La mail datata 11 Aprile, partita da un indirizzo IP francese e transitata su un server britannico, presenta le seguenti caratteristiche:

mail fraudolenta 

 

 

mittente apparente: Titolari

oggetto: mail@destinatario Estratto Conto

corpo del messaggio (in html):

——————————————————————————————————————————-

Gentile email,

Inforimiamo i nostri Titolari che l’estratto conto on-line dall mese
di Marzo e ora disponibile nell’ area riservata dal sito carichieti.it.
Ricordiamo ai nostri Titolari che ogni estratto conto rimane in linea fine
al terzo mese succesivo all’emissione.

Vedi estratto conto

Servizio Clienti Carichieti
4/11/2014 18:21:41
Questa e-mail e stata inviata all’indirizzio di posta elettronica da lei
indicato al momento dell’inscrizione al sito Carichieti.  

——————————————————————————————————————————-

con il collegamento ipertestuale che cela l’url di destinazione:

hxxp://carichieti.co.in/[email protected]/[email protected]%27

E’ opportuno notare che il phisher:

  • ha registrato un dominio sfruttando il nome legittimo dell’ente, ma usando altra estensione nazionale (il dominio è intestato ad una persona romena);
  • si è preoccupato di dare il giusto nome all’host in uso, in modo da legittimare maggiormente gli headers della mail;

particolare headers mail

 

La pagina fraudolenta, visualizzata dopo aver cliccato sul collegamento ipertestuale, riproduce fedelmente la pagina di login al portale di 

pagina clone

 

home banking CSE, presentando alcuni elementi, nella parte superiore destra, non presenti nella pagina legittima, verifiche più attente hanno permesso di rilevare come gli elementi indicati nell’immagine soprastante come in  eccesso, siano in realtà presenti anche sulla pagina del reale portale di home banking.  L’analisi del codice html evidenzia come in realtà si stia visionando una pagina con frame che trae la sua origina da pagine clone inserite in un sito Joomla compromesso.

particolare codice html

 

Effettuata l’operazione di login con soli username e password la vittima viene rediretta a pagine legittime del sito dell’istituto bancario.

 

/da
pagina fraudolenta

Phishing BCC Romagna Occidentale

Il monitoraggio svolto da D3Lab nel trimestre da poco conclusosi ha fornito dati allarmanti, evidenzianti una forte recrudescenza del phishing in ambito italiano, con i criminali che rivolgono l’attenzione ad enti target mai colpiti, o da tempo ignorati, e con caratteristiche comuni ai diversi attacchi indicanti come ad operare siano alcuni gruppi dinamici ed agguerriti.

Il monitoraggio odierno ha portato all’identificazione di un tentativo di phishing a danno dei clienti di una specifica Banca di Credito Coperativo, nello specifico la BCC Romagna Occidentale.

 La scelta dei criminali di colpire una banca specifico rappresenta una novità. In passato le Banche di Credito Cooperativo sono già state all’attenzione dei criminali che per colpirne gli utenti realizzavano phishing generici, traendo vantaggio dall’utilizzo di una template grafico comune a più istituti.

Nel trimestre appena terminato i criminali hanno condotto diversi attacchi di phishing volti a colpire gli utilizzatori delle carte di credito emesse da BCC e l’attacco odierno si differenzia anche in questo, mirando invece ad acquisire l’accesso all’home banking.

La prima pagina clone riprodotta nell’immagine sottostante e posizionata in un web server britannico, si presenta identica alla

pagina fraudolenta

pagina di login del legittimo portale di home banking della BCC Romagna Occidentale, riprodotta nell’immagine sottostante.

pagina legittima

Nel caso odierno i criminali hanno reso raggiungibile la pagina abilitando il wildcard sui domini di terzo livello del dominio saaspoint.com, all’interno del cui sito si trova, a tutti gli effetti, la pagina clone. Tale metodica consente loro di creare url univoci per ogni visitatore, vanificando le funzionalità di black list dei browser.

Effettuato il primo login il visitatore approda su una seconda pagina nella quale gli vengono chiesti due codici generati dal token OTP.

seconda pagina clone

Al termine di questo secondo passaggio l’utente viene condotto sul legittimo sito di simplybank.it, lapiattaforma di home banking in uso alla BCC Romagna Occidentale. Il criminale ha tuttavia reindirizzato l’utente sulla porta 443, dove viene visualizzata solo una pagina bianca.

La grafica della seconda pagina, dove vengono chiesti i pin otp, è comune ai recenti attacchi portati dai criminali alla piattaforma di home banking InBank, della Phoenix Informatica Bancaria, e nei confronti di Monte Paschi di Siena. Tali attacchi si contraddistinguevano da altri per l’iniziale uso di un allegato html alla mail fraudolenta, per passare poi alla visualizzazione di pagine on-line.

Nel caso odierno D3Lab non è in possesso della mail di phishing, ma la strutturazione dell’attacco non farebbe pensare all’uso di allagati. Chi ricevesse la mail di attacco a BCC Romagna Occidentale,  o a SimplyBank Web, ci farebbe cosa gradita se ce ne inviasse una copia ([email protected])

/da
file manager non protetto

Phishing Banca del Sud

Pensare che l’attività di monitoraggio degli attacchi di phishing si concluda con il vaglio delle mail ricevute o l’analisi delle fonti aperte sarebbe limitante. Grazie all’esperienza maturata nell’ambito dell’analisi dei casi di phishing sin dal 2009, D3Lab ha potuto individuare nella mole di tentativi di frode vagliati, quelle caratteristiche che, comuni in parte di essi, consentono di ascriverne la paternità ad uno specifico gruppo.
L’attenzione dedicata in modo continuativo da cinque anni a tale fenomeno ha da tempo permesso all’azienda di “conoscere” le modalità operative, le consuetudini di alcuni di questi gruppi criminali, potendo in tal modo implementare il monitoraggio di mail e fonti aperte con l’attività di analisi, indagine e monitoraggio condotta sui siti e server in uso ai criminali.

 

Nella giornata odierna, il monitoraggio di uno dei siti web in uso ai criminali da ormai diverse settimane e da questi  usato per  colpire BPER, Banca Popolare di 

file manager non protetto 

 

Sondrio e Poste Italiane, ha permesso di individuare un nuovo file di redirect destinato a condurre i visitatori più ingenui su pagine di phishing realizzate per colpire i clienti di Banca del Sud e posizionate all’interno di un sito web, presumibilmente violato, già impiegato per ospitare pagine di phishing a danno di Expedia.

pagina di phishing 

 

La pagina clone visualizza il box di login attraverso un frame presente in una directory di livello inferiore

index of 

 

che risultando esplorabile mostra il proprio contenuto, evidenziando l’utilizzo di immagini, fogli di stile e javascript

index of

 

 

caricati nella struttura offensiva e non richiamati dal sito legittimo dell’istituto.

Dopo l’inserimento di username e password la vittima viene dirottata sulla seconda pagina destinata alla cattura dei codici dispositivi presentante la nota struttura

seconda pagina clone 

 

delle pagine di phishing usate per colpire gli home banking basati sul servizio erogato da Cedacri sin dal 2009/2010.

Dopo l’inserimento dei codici dispositivi le vittime vengono portate sulle pagine web del sito legittimo.

/da
phishing page

Coinbase phishing

Bitcoin rappresenta una realtà e novità che ormai è impossibile ignorare. Per essa stanno nascendo nuovi servizi, quali sportelli ATM e sistemi di conservazione e movimentazione.

Coinbase è una recente startup creata per la conservazione e movimentazione dei Bitcoin, che sta attirando l’attenzione di importanti investitori, nonché acquisendo da altre importanti società manager capaci, evidentemente convinti delle nuove possibilità rappresentate da Bitcoin.

Così, come c’era da aspettarsi, anche i criminali rivolgono la loro attenzione verso il nuovo bacino di utenti al cui capitale di bitcoin sperano di accedere rubandone, attraverso tentativi di phishing, le credenziali di accesso agli account dei servizi appositamente creati.

 

Nella giornata odierna D3Lab ha rilevato, su un server olandese, pagine di phishing volte a colpire gli utenti Coinbase.

phishing page

 

I circuiti di moneta elettronica Liberty Reserve, Payza e Skrill non sono (o erano parlando del sequestrato Liberty Reserve) nuovi al phishing, sebbene i tentativi di frode siano in realtà limitati. Ora l’attenzione dei criminali avrà quale valvola di sfogo anche i bitcoin.

/da
pagina clone

Phishing Volksbank, ma c’è chi lavora bene

Troppo spesso i criminali dediti al phishing operano realizzando siti clone che traggono immagini, fogli di site e javascript direttamente dai siti legittimi degli enti attaccati.

Basterebbe poco per evitare che ciò avvenga e il phishing odierno a danno di Banca Popolare dell’Alto Adige ne è una dimostrazione.

pagina clone

come mostrato dall’immagine soprastante la pagina web realizzata dai criminali non mostra alcuna immagine.
Osservando il codice della pagina web si nota come le immagini siano tratte dal dominio legittimo di Volksbank.

codice html

se si cerca di visualizzare l’immagine da domini non appartenenti a Volksbank si ottiene un messaggio di errore indicante un probabile determinato dalla richiesta della risorsa giungendo con un referer esterno a Volksbank.

blocco immagini

Il sistema usato da Volksbank è certamente efficace sino a che il cyber criminale non decide di uploadare insieme al file htm/html anche tutti i file grafici.

La seconda pagina fraudolenta ha la funzione di catturare la griglia dei codici dispositivo usati da chi non fa uso di token otp.

seconda pagina fraudolenta

L’attacco di phishing in questione è stato portato attraverso l’uso di redirect posizionati nello spazio web di siti altrui grazie a file manager non protetti. 

file manager non protetto

Nel caso specifico il sito web francese è in uso sin dal 18 marzo per portare attacchi di phishing a danno di Banca Popolare dell’Emilia Romagna, Banca Popolare di Sondrio e oggi Volksbank.

segnalazioni di phishing

Le pagine clone sono state inserite in un secondo sito web violato facendo uso di assetmanager, un altra tipologia di file manager che è spesso possibile individuare non protetto con semplici dork.

file manager

Il foglio di stile richiamato dalla seconda pagina fraudolenta è tratto da un terzo sito, compromesso sempre facendo uso di file manager non protetto.

L’uso di redirect, assetmanager e file con nomi “standardizzati” consente di attribuire la paternità dell’attacco descritto ad un gruppo criminale identificato sin dal 2009, responsabile anche nel 2010 e 2011 di una violentissima campagna di phishing a danno di molti istituti facenti capo all’home banking di Cedacri. 

L’attenzione nuovamente riposta da tale gruppo ad istituti colpiti in passato, con la forte attività registrata nel mese di marzo, lascia ipotizzare una recrudescenza dei tentativi di frode per i prossimi mesi.

/da