D3Lab nella quotidiana azione di analisi e contrasto al Phishing e Malspam ha rilevato nella notte odierna la diffusione di un malware Android della famiglia Banker Anubis mediante falsa fattura di Enel Energia.

L’utente è invitato a visitare un sito web per scaricare la fattura insoluta, nella realtà la fattura è una applicazione in formato APK per il sistema operativo Android.

L’applicazione in realtà nasconde il malware Anubis, un trojan che include un ampia varietà di funzionalità. Anubis è in grado di acquisire screenshot dello smartphone, registrare audio, inviare, ricevere ed eliminare messaggi, acquisire la rubrica telefonica, acquisire le credenziali salvate nel browser ed aprire url.

Inoltre, il Trojan è in grado di alterare le impostazioni più profonde del dispositivo compromesso abilitando o manomettendo le impostazioni di amministrazione del dispositivo, per visualizzare le attività in esecuzione e creare una backdoor per il controllo remoto attraverso il virtual network computing (VNC).

Invitiamo pertanto gli utenti a prestare attenzione e non scaricare e installare applicazioni se non provenienti dallo store ufficiale di Google.

 

IoC (Indicatori di Compromissione):

  • http[:]//hovermop[.]com/Fattura002873.apk
  • C2: http[:]//cdnjs.su
  • Fattura002873.apk: c38c675a4342052a18e969e839cce797fef842b9d53032882966a3731ced0a70

 

D3Lab nell’azione costante di monitorare nuove attività di Phishing ai danni degli utenti Europei ha rilevato una nuova campagna malevola ai danni di Tophost, hosting provider Italiano fondato nel 2004.

La diffusione avviene mediante una eMail che informa l’utente che il proprio dominio è stato sospeso e lo invita a procedere al pagamento mediante carta di credito, come visibile dal seguente screenshot.

Continua a leggere

Dalla tarda serata di ieri 21 Ottobre abbiamo rilevato una importante campagna di Phishing ai danni di TNT Italia, l’intento dei criminali è quello di carpire le credenziali di accesso al portale myTNT delle vittime.

È la prima campagna, Italiana, che rileviamo con queste finalità ai danni di TNT, in passato avevamo rilevato altre attività malevoli che sfruttavano il logo della nota compagnia di trasporti ma per diffondere malware.

L’attacco di Phishing è veicolato mediante eMail e invita l’utente a verificare il proprio indirizzo in quanto non risulta reperibile. La mail spedita dall’indirizzo [email protected] risulta ovviamente spoofato (falsificato) per rendere la comunicazione più veritiera.

Invitiamo quindi come sempre gli utenti a prestare la massima attenzione e non fornire credenziali o informazioni personali sul web senza aver verificato l’autenticità del sito web.

Phishing ai danni di N26L’introduzione della nuova direttiva europea sui servizi di pagamento digitali, nota con la sigla PSD2, è un veicolo di attacco molto importante per i Phisher! Infatti abbiamo già rilevato diverse campagne di Phishing ai danni di Poste Italiane o Intesa San Paolo che falsificano una comunicazione informativa dell’istituto bancario per carpire informazioni sensibili degli utenti.

Ma è anche un veicolo per colpire nuovi enti che fino ad ora non avevano mai ricevuto, almeno in Italia, attacchi di Phishing! Infatti in soli tre giorni abbiamo rilevato dodici distinte campagne di phishing ai danni di N26 GmbH in lingua Italiana.

L’attacco è veicolato inizialmente tramite una eMail priva di errori grammaticali, caratteristica comune di tante altre comunicazioni di phishing, ed inoltre presenta un layout analogo alle comunicazioni ufficiali ben realizzato.

Continua a leggere

D3Lab nella azione costante di monitorare nuove attività di Phishing ai danni degli utenti Italiani ha rilevato in data odierna la diffusione del malware Anubis per smartphone Android mediante una falsa promozione dell’operatore telefonico TIM.

L’utente è invitato a visitare un sito web creato Ad Hoc per attivare una offerta che gli garantisce 10Gb di traffico internet gratuito, per attivarla è necessario scaricare un applicazione Android in formato APK.

L’applicazione in realtà nasconde il malware Anubis, un trojan che include un ampia varietà di funzionalità. Anubis è in grado di acquisire screenshot dello smartphone, registrare audio, inviare, ricevere ed eliminare messaggi, acquisire la rubrica telefonica, acquisire le credenziali salvate nel browser ed aprire url.

Inoltre, il Trojan è in grado di alterare le impostazioni più profonde del dispositivo compromesso abilitando o manomettendo le impostazioni di amministrazione del dispositivo, per visualizzare le attività in esecuzione e creare una backdoor per il controllo remoto attraverso il virtual network computing (VNC).

Invitiamo pertanto gli utenti a visitare il sito ufficiale di TIM per conoscere nuove offerte e non consultare link ricevuti via SMS.

 

IoC (Indicatori di Compromissione):

 

 

 

Carola

Italian language version

Operating daily within the field of OSINT activities, we often encounter the difficulty of making possible customers understand what the potential and usefulness of this type of activity might be. Another problem is making the customer understand what the difficulties and limitations of this type of activity could be, where years of television series have accustomed us to seeing the geek operatives of CSI, NCIS, etc… retrieving any information about a person with a just click.

We could face two differente situations:

  1. the target is too active on the web: analists should be submerged by data and find really interesting data could be very hard.
  2. the target is savvy enough about privacy stuffs to not leave data behind.

We could indeed find ourselves in two extreme situations:

  • in the first, the target is too active in the web, analysts will therefore find themselves overwhelmed by an excess of information in which it is almost impossible to identify specific facts of real utility;
  • in the second, the target is a subject that is particularly attentive to their privacy and analysts will find themselves in the situation of not being able to identify any type of information on the net.

In this context, Carola Rackete, Sea-Watch 3 commander, represents an interesting case history: in the media it was reported that it was impossible to find evidence confirming the details of the curriculum she published on LinkedIn (1). Indeed, the complete absence of any such evidence was alleged, given that Carola doesn’t have any social media profile apart from LinkedIn.

So we decided to perform a simulation aimed to verify what an OSINT research can lead starting from information about Carola freely available on-line.

So, we decided to perform a simulation aimed at verifying the results that OSINT research can achieve starting from information about Carola that was freely available on-line.

Premise: each piece of information, document and image presented in this post is freely available on-line and can be consulted by anyone based on the privacy setting of the owners.

Continua a leggere

Carola

English version

Operando giornalmente nell’ambito dell’attività OSINT ci scontriamo spesso con la difficoltà di far comprendere ai possibili clienti quali possono essere potenzialità e utilità di questo tipo di attività.
Un altro problema è far comprendere al cliente quali possono essere le difficoltà e i limiti di questa tipologia di attività, laddove anni di serie televisive ci hanno abituato a vedere gli operatori geek di CSI, NCIS, ecc..  recuperare qualsiasi informazione su una persona con un solo click.

Ci si potrebbe infatti trovare in due situazioni estreme: nella prima il target è troppo attivo nell’ambito web, gli analisti si troveranno quindi sommersi da un eccesso di informazioni in cui è complesso individuare quelle di reale utilità; nella seconda il target è un soggetto particolarmente attento alla propria privacy e gli analisti si troveranno nella condizione di non riuscire a individuare in rete informazioni di alcun tipo.

In tale contesto Carola Rackete, comandante della Sea-Watch 3, ha rappresentato un interessante case history: sui media è stato riportato dell’impossibilità di trovare riscontri al curriculum dalla stessa pubblicato su LinkedIn(1), nonché della sua presunta assenza dal panorama digitale, non avendo lei alcun profilo social (LinkedIn a parte).

E’ stata quindi svolta una simulazione al fine di verificare i risultati delle attività di ricerca ed analisi che potessero identificare Carola partendo dalle varie informazioni pubblicamente reperibili.

Premessa: ogni informazione, documento, immagine presente in questo articolo è individuabile on-line e consultabile da chiunque in base alle impostazioni di condivisione e privacy settate dai rispettivi proprietari/titolari. Continua a leggere

Sei stato uno dei dieci fortunati vincitori di un Samsung Galaxy S10 spedito da Poste Italiane a soli 1,95euro? Bhe sappi che è una operazione di scam e con buona probabilità non riceverai alcun regalo!

Lo scam è un tentativo di truffa pianificata con metodi di ingegneria sociale. In genere avviene inviando una e-mail nella quale si promettono grossi guadagni in cambio di somme di denaro da anticipare. Spesso scam e spam sono strettamente correlati. Lo scam può riferirsi anche a un tentativo di furto di dati informatici sensibili, come password da parte di malintenzionati, al fine di sottrarre o trasferire indebitamente somme di denaro da conti on line. {Wikipedia}

Il sito internet creato Ad Hoc per veicolare questa campagna di scam mostra in home page la dicitura “Congratulationi! Sei uno dei 10 fortunati utenti che abbiamo selezionato per avere l’opportunità di vincere un Samsung Galaxy S10.” e in aggiunta è presente una sezione di commenti di altri utenti che confermano di aver ricevuto il telefono proprio nei giorni antecedenti.

Continua a leggere

Phishing ai danni della Banca Popolare di Sondrio

Da martedì 9 Aprile è in corso una importante campagna di Phishing ai danni della Banca Popolare di Sondrio, data l’importante mole di eMail rilevate nei confronti di questo istituto mercoledì abbiamo dato risalto dell’attività tramite i profili ufficiali di D3Lab nei Social Network.

Ad oggi la campagna di Phishing sta proseguendo con l’invio di un massiccio numero di eMail. Il messaggio inviato alla probabile vittima è molto semplice: lo avvisa che la password del proprio Home Banking è scaduta e lo invita ad accedere al sito per completare il login.

Continua a leggere

Italian version here.

In last days D3Lab identified a malspam campaign which simulate a communication about invoices and payments to spread malware with the aim to steal sensitive data from Ms Windows devices.

The malware is downloaded, from a probably compromised domain, and executed by a Microsoft Exel macro attached to the mail, clearly these actions require a users interaction.

The malware uses SMTP protocol to send stolen credentials towards command and control servers identified by domain names made ad-hoc for this malspam campaign. This escamotage allows to escape superficial network traffic control using believable domain names capable to deceive network controller operators, letting the malware talking with C&C servers.

Since Aprile the 1st we identified eleven malware versions . The difference is in the SMTP server used to send stolen credentials and we suppose each file has been made to hit different countries.

Continua a leggere