Ces derniers jours le D3Lab a découvert des pages de phishing visant à frapper un nouvel institut bancaire français, la Société Générale, la septième banque au classement par capitalisation des groupes bancaires de la zone Euro, où elle favorise le développement du commerce et de l’industrie française.
Negli ultimi giorni D3Lab ha individuato pagine di phishing volte a colpire un nuovo ente bancario francese, la Société Générale, settima banca nella classifica per capitalizzazioni dei gruppi bancari della zona Euro, in cui favorisce lo sviluppo del commercio e dell’industria francese.
Dallo scorso 24 Ottobre è attiva una campagna di Phishing ai danni degli utenti Libero Mail finalizzata all’acquisizione esclusiva delle credeziali dell’account di posta elettronica. Il Phisher per ingannare maggiormente la vittima ha creato il dominio Ad hoc login-webmail-libero.com che può far pensare ad un sito autentico.
Il Whois del dominio ci riporta che è stato sfruttato un servizio di Privacy Protection per nascondere il proprietario del dominio.
Creation Date: 2016-10-06T18:43:00.00Z
Registrar Registration Expiration Date: 2017-10-06T18:43:00.00Z
Registrar: ENOM, INC.
Registrar IANA ID: 48
Reseller: NAMECHEAP.COM
Domain Status: clientTransferProhibited https://www.icann.org/epp#clientTransferProhibited
Registry Registrant ID:
Registrant Name: WHOISGUARD PROTECTED
Registrant Organization: WHOISGUARD, INC.
Registrant Street: P.O. BOX 0823-03411
Registrant City: PANAMA
Registrant State/Province: PANAMA
Registrant Postal Code: 0
Registrant Country: PA
Registrant Phone: +507.8365503
Registrant Phone Ext:
Registrant Fax: +51.17057182
Registrant Fax Ext:
Registrant Email: [email protected]
Analizzando il kit di Phishing rileviamo che è stato realizzato con l’intento di eludere le BlackList dei filtri anti-phishing grazie alla generazione random di url.
L’utente caduto nella trappola verrà indirizzato ad una finta pagina che gli conferma il corretto inserimento dei dati, anche se il kit non prevede realmente la verifica dell’username e delle password, e infine rediretto verso il sito ufficiale di Libero.
Attraverso l’attività di analisi del tentativo di phishing è stato possibile recuperare le credenziali carpite dai criminali, dalla cui analisi si rileva la presenza di:
E l’inserimento di 558 inserimenti di password, così composte:
Le credenziali sottratte verranno quasi sicuramente utilizzate per inviare ulteriore Phishing o Spam ad altri utenti o alle rubriche eMail salvati all’interno degli account sottratti.
Nell’attività di analisi del Phishing abbiamo rilevato l’utilizzo del server eMail di Telegram e della loro casella di Supporto per inviare Phishing ai danni degli utenti Apple.
Nelle procedure consolidate di analisi del Phishing che svolgiamo da quattro anni lo scorso 4 Ottobre verificando una eMail di Phishing ai danni degli utenti Apple abbiamo notato l’insolito mittente “[email protected]”. Insolito perché usualmente il mittente di una eMail di Phishing viene falsificato per rendere la comunicazione ancor più veritiera con l’eMail dell’ente in oggetto. In questo caso una eMail che potrebbe ingannare maggiormente l’utente sarebbe stata: [email protected]/.com. Telegram nonostante sia nella TOP 50 delle applicazioni maggiormente scaricate nell’Apple Store non ha certamente collegamenti societari con Apple.
Analizzando successivamente l’header della mail e più precisamente i nodi di rete coinvolti si nota che la mail di Phishing è stata inviata all’effettivo mail server di Telegram da una VPS britannica ed infine consegnata al destinatario. Il server eMail di Telegram “mail.telegram.org” avente IP 149.154.167.33 risulta quindi coinvolto nell’invio di Phishing.
Anche una ulteriore analisi attraverso un Reverse DNS ci conferma che all’IP 149.154.167.33 è associato il sotto-dominio mail.telegram.org
Verificando inoltre le zone DNS del dominio telegram.org troviamo un ulteriore conferma dell’autenticità del sotto-dominio e del server sfruttato per inviare l’eMail.
Pertanto il Server Mail e un Account Mail di Telegram è stato sfruttato per inviare Phishing!
Ma come è stato possibile? Il Phisher ha ottenuto la password dell’account [email protected] e sfruttato per inviare la posta?
No, come si può vedere dall’immagine di apertura il server SMTP non era configurato correttamente e non richiedere l’autenticazione, funzionando come un Open Mail Relay!
Un Open Mail Relay è un server SMTP configurato in modo tale che permetta a chiunque di inviare eMail attraverso esso, questa era la configurazione di default nel passato dei principali server mail ma a seguito dell’utilizzo fraudolento da parte di spammer e phisher ad oggi viene normalmente chiesta l’autenticazione per l’invio di una eMail. Risultava quindi possibile inviare eMail attraverso la casella [email protected] a chiunque.
A conferma di tale ipotesi vediamo di seguito una scansione positiva eseguita con il noto software nmap e lo script per la verifica dell’Open Relay.
Abbiamo provveduto ad avvisare Telegram alle 20 del 4 Ottobre, e dopo soli 30 minuti, con grande tempestività, il team di Telegram era già intervenuto riconfigurato il loro server SMTP, rispondendo alla nostra segnalazione ringraziandoci.
I Phisher hanno usato il server SMTP per inviare Phishing, ma questa errata configurazione poteva certamente essere sfruttata per inviare comunicazioni di carattere amministrativo (Man in the Mail) o uno Spear Phishing mirato ad altri dipendenti Telegram o società che collaborano strettamente con loro.
Il Phishing è una truffa informatica eseguita tramite una eMail, anche se non mancano i casi in cui il vettore della truffa siano i brevi di messaggi di testo o altri sistemi di comunicazione, che falsifica una comunicazione del proprio Istituto Bancario al fine di frodare il destinatario. Al destinatario viene chiesto di fornire informazioni sensibili (Credenziali, Carta di Credito, Token OTP, ecc) oltre alle proprie generalità.
D3Lab opera attivamente dal 2011 nell’analisi e nel contrasto del Phishing dapprima in Italia ma recentemente anche in altri paesi della comunità Europea, analizzando mediamente oltre 90mila casi univoci al mese di tentativi di Phishing.
I Phisher comunemente concentrano le loro forze solitamente su enti importanti quali PayPal, Apple, Unicredit, Intesa San Paolo, Poste Italiane ecc poiché il bacino di vittime sarà sicuramente maggiore rispetto ad altre piccole realtà bancarie e si presume maggior facilità nell’attrarre delle vittime.
Ma i Phisher per differenziarsi escono a volte dagli schemi, colpendo un target con un bacino di clienti inferiore. Una scelta che viene fatta per scoprire nuovi “territori” vergini o quasi e per sondare il quantitativo di potenziali vittime. Se il target porta interessanti novità il Phisher migliora il kit di Phishing perfezionando il layout web, la comunicazione via eMail, il dominio (sfruttando SSL o creando domini ad-hoc) per ingannare maggiormente la vittima.
Unipol appartiene sicuramente a questa casistica, nel corso del 2016 i casi a suo danno sono aumentanti e il Kit sfruttato per effettuare il Phishing si è perfezionato includendo anche la richiesta del codice OTP oltre a riprodurre perfettamente la pagina di login. Il grafico seguente confronta i casi da noi identificati dal 2012 ad oggi, rispetto al 2015 il 2016 vede un trend di crescita maggiore del 50%.
Il Kit di Phishing individuato stamani, a conferma di quanto affermato in precedenza, è probabilmente ad opera dello stesso Team che effettua Phishing ai danni di Unicredit. Infatti analizzando la pagina di richiesta del codice OTP, a seguito del login, troviamo un errato titolo che riporta “Unicredit Conti correnti online”. Probabilmente per la creazione di questo kit è stato sfruttato un template Unicredit e poi personalizzato ad-hoc per Unipol ma il Phisher si è scordato di variare il titolo della pagina.
È quindi importante effettuare attività di contrasto e di sensibilizzazione della clientela attraverso il customer service al fine di ridurre i rischi.
Nella giornata di ieri 6 Ottobre e anche oggi abbiamo rilevato la diffusione di malware attraverso una finta comunicazione della Banca Fineco (appartenente al Gruppo Bancario Unicredit).
L’eMail fa riferimento ad una probabile transazione finanziaria e chiede all’utente di prenderne visione, nonostante l’Italiano non perfetto il destinatario incuriosito nel capire quale operazione gli viene attribuita cliccando sul link “qui” nella terza riga della eMail viene reindirizzato ad un sito web il quale ha il compito di eseguire il download del file “ordine.zip.”
L’archivio contiene al suo interno un file JavaScript, esso richiamerà una PowerShell con il compito di scaricare ed eseguire un ulteriore file JavaScript. Quest’ultimo file JavaScript scaricherà un eseguibile e un ulteriore file JavaScript che verrà sfruttato come eventuale backup per il download del malware.
Differentemente da molti altri casi i file JavaScript non sono offuscati e inoltre richiede la presenza della PowerShell su Microsoft, escludendo di fatto Windows XP poichè per tale sistema operativo ormai non sopportato non era prevista l’installazione automatica del software PowerShell.
Durante la stesura di questo articolo i file JavaScipt (i downloader) vengono rilevati malevoli secondo VirusTotal come segue:
Particolare la scelta di non offuscare i file, tale scelta li rende più facilmente identificabili dagli antivirus. A dimostrazione di ciò abbiamo volutamente offuscato il file 3j.js attraverso quattro servizi online gratuiti ottenendo una indentificazione in media minore.
Infatti dove il file originale 3j.js viene rilevanto da 5 Antivirus su 54 la medesima versione offuscata attraverso il servizio online Pjoneil che non ne altera il funzionamento ma solamente il contenuto porta ad una indentificazione di 2 Antivirus su 54. Con una media ccomplessiva comunque più bassa di 3,5 rilevamenti contro 5.
Il file eseguibile scansionato per l’ultima volta da Virus Total il 6 Ottobre alle 19:58 UTC veniva riconosciuto da 11 Antivirus su 56, rianalizzando durante la stesura di questo articolo il rilevamento è decisamente aumentato portandolo a 28/56.
La sola scansione su VirusTotal ci indirizza sulla possibilità che il malware NON sia della famiglia dei ransomware, ma bensì un Trojan in grado di controllare remotamente il computer della vittima potendo quindi acquisire informazioni riservate come Username, Password, Dati Personali, Documenti, Foto, ecc ecc o accedere alla WebCam del computer o visualizzare remotamente il Desktop dell’utente seguendo ogni sua singola operazione.
Il servizio di Malware Analysis offerto da Malwr.com ci conferma nuovamente che il trojan in oggetto è in grado di:
Inoltre ci informa che genera traffico di rete verso due domini constitution.org e ofenesuspendedcermock.pw, dal primo sito viene estratto il file TXT della Dichiarazione di Indipendenza degli Stati Uniti d’America (http://constitution.org/usdeclar.txt). Questa azione è probabilmente utile al malware per sfruttare l’algoritmo di generazione dei domini (DGA) acquisendo parti del testo della dichiarazione, il dominio servirà per richiamare il server di C&C sfruttato dal BootMaster. È una procedura ormai consolidata quella di generare domini randomici e cambiarli periodicamente per garantire la robustezza dell’intera infrastruttura. Il malware ongi X periodo richiamerà un dominio diverso, così se il precedente viene sospeso perchè ritenuto illecito il Bootmaster non perderà il controllo dei suoi malware. Per chi volesse approfondire questo argomento troverà utile la tesi di Laurea di Stefano Schiavoni con il relatore Stefano Zanero, disponibile su Politesi.
A conferma dell’analisi di Malwr abbiamo provveduto a disassemblare il malware, riconducendo parte del codice al Trojan Spyeye confrontando il codice pubblicato su GitHub. Spyeye è un malware noto poichè progettato per carpire le informazioni dei conti correnti bancari, sviluppato dal 24enne Alksandr Panin di origine Russa che vendeva il malware a terzi per una cifra compresa tra i mille e gli ottomila dollari in base a quanto riportato Wired Italia. Il caso più eclatante compiuto attraverso questo malware è certamente legato alla sottrazione di 3 milioni di dollari.
SpyEye, come afferma Krebsonsecurity, è in grado di iniettare codice nei principali Browser Internet come Firefox, Opera e Chrome al fine di sostituire i form dei siti internet bancari e catturare in tempo reale le credenziali inserite. Ottenendo in tempo reale non solo username e password ma eventuali codici OTP utili per eseguire bonifici o ricariche. È in grado anche di eliminare i Cookie ad ogni avvio costringendo l’utente ad effettuare un nuovo login, e quindi a ridigitare le proprie credenziali, all’apertura del browser.
3Le Crédit Mutuel est l’un des principaux groupes bancaires français, qui bénéficie de la participation de plusieurs autres instituts et groupes bancaires.
La présence de plusieurs instituts bancaires au sein d’un seul groupe, qui peuvent utiliser la même plateforme d’internet banking, permet aux phishers les plus expérimentés de réaliser des campagnes de phishing visant à attaquer au moyen de l’envoi d’un seul courriel les titulaires d’un compte dans les différents instituts qui font partie du groupe.
Le monitorage actuel a permis de relever au cours des premières heures de la nuit un cas de phishing qui, exploitant ce schéma, a des retombées sur les clients du:
La page frauduleuse sur laquelle aboutiront les «victimes» après avoir cliqué sur le lien Continua a leggere
Crédit Mutuel è uno dei principali gruppi bancari francesi, partecipato diversi altri istituti e gruppi bancari.
La presenza di più istituti bancari in un unico gruppo, che fanno magari uso della medesima piattaforma di internet banking, consente ai phisher più agguerriti di realizzare campagne di phishing volte a colpire con l’invio di una singola mail i correntisti dei vari istituti facenti parte del gruppo.
Il monitoraggio odierno ha permesso di rilevare nella prime ore della notte un caso di phishing che sfruttando tale schema va ad impattare sui clienti di
En France la Sécurité Sociale est divisée en trois secteurs principaux:
gérée par trois différentes institutions:
En effectuant le monitorage du phishing international, le D3Lab a relevé, à partir de 2013, un intérêt des criminels pour la Caisse Nationale des Allocations Familiales,
In Francia la previdenza sociale è suddivisa in tre settori principali:
gestiti da tre differenti enti:
Monitorando il phishing internazionale D3Lab aveva rilevato sin dal 2013 l’interesse dei criminali per la Caisse nationale des allocations familiales,
