Siti IT compromessi. Ancora una azione di 'defacement' (agg.17 settembre)

Un buon numero (35) di siti IT hostati su

appaiono aver subito una tipica azione di 'defacement'.

Ecco come si presenta la  homepage dei siti colpiti

mentre, questo, un  report ottenuto con script Autoit 

che evidenzia come i sorgenti delle homepage (indirizzi web da reverse IP) scaricati  presentino il codice di hacking.

Sempre sul medesimo IP appare anche un sito che pur presentando la homepage accessibile risulta includere nel  layout  alcune scritte di hacking.

Questa invece una pagina inclusa in sito di Comune del Nord Italia che evidenzia una azione di hacking.

Da notare che l'url  parrebbe essere riferita ad intranet comunale.

Come sempre siamo di fronte ad hacking che, in questo caso oltre a bloccare al visualizzazione di alcuni siti, evidenzia la presenza di vulnerabilita' che potrebbero essere usate a supporto di phishing, distribuzione malware ecc.....

Edgar

Markets Android sicuri e non. Pubblicato da TrustGo un interessante report al riguardo (16 settembre)

TrustGo, una societa' USA che si occupa di 'Antivirus & Mobile Security', ha pubblicato da qualche giorno un interessante report relativo ad una scansione di 175 market-places Android presenti in varie nazioni, controllando 1.700.000  applicazioni per verificarne la sicurezza.

Le applicazioni malevoli trovate sono state classificate in 3 categorie : malevoli, alto rischio e basso rischio.

Nel dettaglio appare sul report un notevole incremento delle applicazioni malevoli presenti in rete con una percentuale di incremento rilevata nel periodo Giugno-Agosto del  216% rispetto ai precedenti 3 mesi.

Relativamente alla provenienza di queste applicazioni oltre il 33% parrebbe provenire da stores cinesi ed, in particolare, quello denominato  Anzhi presenterebbe sino al 63% di rischio nello scaricare una applicazione e trovarla non sicura.

Come si nota dal report ai primi 5 posti di market non sicuri ne abbiamo 5 di provenienza cinese.

Invece i market piu' sicuri, sempre a giudizio di TrustGo, sarebbero Aproov (Europa) con il 2.1% di rischio seguito da  Amazon(USA) D.cn(China), Handster (Europa) e Google Play (USA)

1. Aproov (Europe) - 2.1 percent risk
2. Amazon (U.S.) - 2.7 percent risk
3. D.cn (China, partnered with Rovio Mobile) - 7.0 percent risk
4. Handster (Europe) - 7.3 percent risk
5. Google Play (U.S.)  - 8.4 percent risk

Per quanto si riferisce a Google Play in effetti il fatto che si trovi solo al quinto posto come rischio di scaricare applicazioni non sicure puo' anche derivare dalla estesa diffusione di utilizzo del market in questione.

Per quanto riguarda invece la tipologia delle applicazioni coinvolte come c'era da aspettarsi i giochi sono quelli che in maggior percentuale compaiono tra le applicazioni piu' rischiose mentre la percentuale piu' bassa riguarda applicazioni della categoria 'produttivita''

Il report si conclude indicando i virus piu' diffusi su Android e elencando alcuni consigli su come evitare di caricare una applicazione malware.

Oltre al fatto di evitare applicazioni che chiedono un elevato numero di permessi per venir eseguite c'e' anche il consiglio di scegliere tra applicazioni note su marketplaces con chiare policies di sicurezza e protezione e  di dare sempre una occhiata ai commenti di chi ha scaricato e installato il programma in precedenza ponendo, attenzione, in particolare, a quelli negativi.

Edgar


Particolari dell'immagine dell'infografica tratti da 

http://venturebeat.files.wordpress.com/2012/09/mobilemayhemreport_2012.jpg

Ritorna ancora una volta lo spam pericoloso con link a malware (14 settembre)

Nuovamente ricevute ed anche presenti come segnalazione in in rete, diverse mails che portano il 'solito' link a file zip contenente malware.

Si tratta sempre della ormai molto nota e datata azione di spam pericoloso,presente da moltissimo tempo in rete, e ben documentata (vedi ad esempio questo post ed i molti precedenti)

Considerato che il testo e' in lingua italiana ed che, al momento dell'invio mails, il link nel messaggio mail punta a contenuto malevolo praticamente sconosciuto ai piu' noti softwares antivirus, l'azione di diffusione del malware potrebbe comunque avere una certa efficacia.

Questi alcuni dei brevi testi rilevati sui messaggi

------------------------------------------------

oggetto mail : Risposta alla tua domanda #xxxxxx

Dear customer, 

Secondo la vostra richiesta vi invieremo una fattura

http://ftp.xxxxxxx/profilo/Profilo.zip?xxxxxxxxxxxxxx

---------------------------------------------

oppure

----------------------------------------------

oggetto mail : Fatture #xxxxxxxxx

Dear client, 

La risposta alla tua domanda riguardo al profilo sul nostro sito 2012/09/10.

Eseguito.

Le statistiche possono essere scaricati

http://xxxxxxxxxxxxx.pl/dettagli/Dettagli.zip?xxxxxxxxxxxxxxx

----------------------------------------------

ed ancora

-----------------------------------------------

oggetto mail : Nuovi dettagli per il pagamento # xxxxxxxxxx

Dear client, La risposta alla youWe attirare la vostra attenzione sul fatto che si dispone di fatture non pagate. Deve essere pagato prima della fine della settimana.

 Ulteriori informazioni sono disponibili al seguente indirizzo: http://ftp.xxxxxxx.com/dettagli/Dettagli.zip?xxxxxxxxxxxxxx

 ____________ 

Best regards, 

-----------------------------------------------

In tutti i casi abbiamo un link a file in formato compresso, ospitato su sito compromesso.
Il nome del file linkato e' in lingua italiana (Dettagli.zip - Profilo.zip)  ed e' collegato a quanto si legge nel breve messaggio mail, al fine di generare curiosita' in chi ricevesse la mail e fargli downloadare ed aprire lo zip.

Il contenuto e' il 'solito' eseguibile malware con estensione exe mascherata dalla lunga sequenza di caratteri 'underscore' _____________ .

Come c'era da aspettarsi, a poche ore dalla messa online del file, una analisi Virus Total mostra un riconoscimento praticamente nullo sul file quando scompattato (eseguibile )

o quasi nullo su quello in formato compresso

Edgar

Phishing internazionale. Colpita la maggiore azienda produttrice e distributrice di energia in Francia (9 settembre)

Come e' evidente, il phishing ai danni di banche ed aziende italiane e' solo una piccola parte di quello che, a livello globale, propone ogni giorno centinaia di pagine clone ai danni di aziende piu' o meno note.

Quello che si nota, non solo per obiettivi IT, e' la tendenza nel cercare di acquisire, da parte dei phishers, credenziali di carta di credito piuttosto che  dati di login a conti bancari online, anche se ultimamente appaiono in rete tentativi di bypassare accessi ad internet banking che utilizzano protezioni basate su OTP (passwords generate da dispositivi hardware o gestite tramite SMS)

Non sorprende quindi che una verifica del report  Autoit che acquisisce le segnalazioni online di phishing mostri questo interessante clone ai danni della nota societa' elettrica francese EDF

EDF (Électricité de France) è la maggiore azienda produttrice e distributrice di energia in Francia.(fonte Wikipedia) e questo phishing potrebbe quindi garantire a chi lo gestisce, una notevole 'raccolta' di 'dati' sensibili anche considerato l'elevato numero di utenti coinvolti.

Vediamo alcuni dettagli.

Il clone e' ospitato su server 

e presenta in evidenza il logo dell'azienda

con un primo form di richiesta dei dati anagrafici ma anche della mail con la relativa password (anche l'acquisizione di credenziali di login a web-mail appare sempre piu' diffusa on-line attraverso false pagine di login)

La pagina seguente mostra poi l'acquisizione dei dati relativi alla carta di credito 

ed e' predisposta per accettare un buon numero di differenti nomi di banche

Successivamente si viene reindirizzati al reale sito di EDF.

Da un  punto di vista piu' tecnico si evidenzia il fatto che il sito clone parrebbe essere gestito con l'uso di una procedura gia' molto vista su phishing VISA (vedi questo post) e che consiste nel creare al momento del login al sito clone un folder dal nome random su cui duplicare il clone base in maniera automatica, e questo per garantire una probabile migliore contrasto ad eventuale blacklist dell'indirizzo web.

Al momento appaiono generati circa 180 nuovi folders

 che dovrebbero corrispondere quindi al numero degli accessi alle pagine clone EDF.

Questo sistema utilizzato spiega anche come mai sia notevole il numero di segnalazioni effettuate online in quanto ad ogni accesso abbiamo differente URL nella parte relativa al folder che ospita il fake sito EDF.

Notevole anche il fatto che dopo circa un minuto di intervallo il numero di folders clone aumenti di 5 ….8 volte dimostrando un elevato  numero di accessi al sito.

Come si vede, quindi,  un phishing estremamente curato nei dettagli e che va a colpire una azienda che pur non essendo una banca assicura comunque ai phishers un elevato numero di utenti da cui tentare di acquisire le credenziali di carta di credito.

Edgar

Intenso spam dai contenuti rivolti ad utenza italiana della rete e con la presenza di links ad exploit (30 agosto)

Mentre siamo di fronte ad una probabile nuova 'campagna' di spam con caratteristiche simili a quelle gia' descritte in numerosi post (presenza in molti casi della stringa di caratteri 'Monte Biz' nel testo del messaggio mail), da qualche giorno sembra essersi intensificata anche una distribuzione di spam pericoloso con caratteristiche leggermente diverse.

Si tratta di mails dal breve testo in lingua italiana e non sempre corretto, che presenta anche uno o piu' links a malware non sotto forma di file scaricabile ,come accadeva per i casi 'Monte Biz',  ma come link a serie di redirects che puntano a pagina contente exploits.

La struttura dei messaggi ricalca il ben noto utilizzo di testo che cerca di incuriosire chi ricevesse la mail facendogli cliccare il link malevolo mentre, se la vulnerabilita' interessata dall'exploit e' presente sul pc colpito, potranno esserci download ed esecuzione di malware in maniera automatica.

L'analisi di detti link non e' facile in quanto i siti che ospitano i codici pericolosi sembrano non raggiungibili con IP thai e comunque potrebbero essere volutamente tenuti ON-line per brevi intervalli di tempo e venire sostituiti spesso da differenti e nuovi links ad exploit.

Ecco alcuni dettagli:

Questa una delle mails ricevute 

dove  notiamo un testo che cerca di incuriosire chi ricevesse il messaggio attraverso notizie fasulle ed uso di nomi di servizi di webmail o di providers italiani

Analizzando il link e seguendo  i vari redirects abbiamo

con destinazione finale su url che appare offline

Passando detto indirizzo ad un servizio di analisi malware otteniamo comunque questo risultato

che mostra come su detto sito sia presente un exploit PDF.

Vediamo ora altre 2 delle mails ricevute

e

che anche in questo caso mostrano il link con serie di redirects che puntano al medesimo dominio visto prima

Questa un'altra  interessante mail il cui messaggio sembra composto da parti di testo generato forse attraverso ricerche di testi in rete e comunque ulteriormente 'modificato' prima di venire utilizzato.

Cercando in rete troviamo infatti 

da cui 

che,come si vede, parrebbe avere qualche riferimento con i contenuti del messaggio in mail, anche se alcune parole sono ulteriormente 'modificate'

Notate anche come compaiano nel link, riferimenti a nota azienda italiana.

Una ricerca mostra che il link e' sempre in relazione con il dominio malevolo  visto nei casi precedenti.

Per terminare altri due esempi simili ai precedenti

e

Indubbiamente si tratta di malware la cui distribuzione attraverso links ad exploit potrebbe facilitarne la diffusione in quanto,  come gia' detto, non occorre estrarre da file ZIP (casi Monte Biz) e/o lanciare un eseguibile ma basta un semplice click sul link in mail, per attivare i contenuti malevoli presenti on-line.

Edgar