Piovono Domini ad-hoc per una campagna di Phishing ai danni di Lottomatica

Il nostro servizio di Brand Monitor permette di monitorare la registrazione di nuovi domini internet a tutela di un marchio individuando tempestivamente utilizzi inopportuni del brand del cliente. È sempre più frequente rilevare criminali informatici che registrano nuovi domini molto similari agli originali per confondere l’utente e trarlo in inganno, i domini vengono spesso usati per diffondere Malware, Phishing Bancario (es. Bonus 500euro, SMS Poste Italiane, PayPal, ecc), Man in The Mail (es. Ubiquiti stung US$46.7 million in e-mail spoofing fraud) o destabilizzare l’asseto azionario come successe a Intesa San Paolo con la registrazione di un dominio ad-hoc e la relativa pubblicazione di un falso comunicato dell’AD Carlo Messina.

Nel corso dell’ultima settimana abbiamo rilevato la registrazione di un elevato numero di domini con TLD .xyz sfruttati per attuare una campagna di Phishing ai danni dei titolari di carte di credito emesse da Lottomatica, ovvero la Lottomaticard e la carta di credito prepagata PayPal che ricordiamo essere emessa da Lottomatica e Banca Sella per il nostro paese.

I domini registrati tra l’8 Febbraio e il 12 sono in totale 55:

cartalislottomaticard.xyz
cartalislottomaticard0.xyz
cartalislottomaticard1.xyz
cartalislottomaticard2.xyz
cartalislottomaticard3.xyz
cartalislottomaticard4.xyz
cartalislottomaticard5.xyz
cartalislottomaticard6.xyz
cartalislottomaticard7.xyz
cartalislottomaticard8.xyz
cartalislottomaticard9.xyz
cartalisprepagat.xyz
cartalisprepagata1.xyz
cartalisprepagata2.xyz
cartalisprepagata3.xyz
cartalisprepagata4.xyz
cartalisprepagata6.xyz
cartalisprepagata7.xyz
cartalisprepagata8.xyz
cartalisprepagata9.xyz
cartalisprepagata12.xyz
cartalisprepagata13.xyz
cartalisprepagata14.xyz
cartalisprepagata15.xyz
cartalisprepagata16.xyz
cartalisprepagata17.xyz
cartalisprepagata19.xyz
cartalisprepagate.xyz
cartalisprepagate1.xyz
cartalisprepagate2.xyz
cartalisprepagate3.xyz
cartalisprepagatee.xyz
cartalisprepagati.xyz
cartalisprepagatii.xyz
lottomaticard.xyz
lottomaticard1.xyz
lottomaticard2.xyz
lottomaticard3.xyz
lottomaticard4.xyz
lottomaticard5.xyz
lottomaticard6.xyz
lottomaticard7.xyz
lottomaticard8.xyz
lottomaticard9.xyz
lottomaticard10.xyz
lottomaticard11.xyz
lottomaticard12.xyz
lottomaticard13.xyz
lottomaticard14.xyz
lottomaticard15.xyz
lottomaticard16.xyz
lottomaticard17.xyz
lottomaticard18.xyz
lottomaticard19.xyz
lottomaticard20.xyz

I phisher al fine di limitare una immediata identificazione delle pagine fraudolente hanno previsto un redirect verso il dominio otobankasi.com se si accede direttamente al dominio o al sotto-dominio www, per visualizzare le pagine di Phishing bisognerà indicare un sotto-dominio random. Questa tecnica permette anche di limitare le funzionalità delle BlackList di Phishing poichè l’url visualizzato dall’utente varierà continuamente.

Nei due screenshot precedenti vediamo un anteprima delle pagine fraudolente, in esse l’utente è invitato ad inserire le credenziali per poter accedere al pannello di controllo della propria carta e i dati relativi ad essa. Data la richiesta delle credenziali di login, e non solo i dati della carta, è probabile che il team di Phisher voglia trasferire i fondi della vittima verso un’altra prepagata emessa da CartaLIS/Lottomatica.

I domini sono stati registrati a nome di due persone Debora Cestari e Ovidiu Ioan Sara, probabilmente sono nominativi inventati o vittime di altre campagne di Phishing, i cui dati e lecui carte di credito possono essere usate per acquistare servizi utili alla struttura criminale… il phishing è anche questo, vittime inconsapevolmente  coinvolti nelle frodi.

Un altro ente fortemente colpito in Italia attraverso la creazione di domini ad-hoc è Poste Italiane, dal 1 Gennaio 2017 ad oggi abbiamo rilevato la registrazione di 107 nuovi domini sospetti, a dimostrazione di quanto la metodica sia ampiamente impiegata dai criminali e di come il suo controllo e contrasto richiesta procedure e servizi ad hoc.

/da

Bonus 500€ anche per le famiglie? No, è Phishing ai danni di Poste!

Una nuova eMail di Phishing Bancario ai danni di Poste Italiane veicola l’attacco tramite una falsa promessa di estensione del Bonus di 500euro per i 18enni alle famiglie!

Il Bonus Cultura, apprendiamo su 18app, è una iniziativa a cura del Ministero dei Beni e delle Attività Culturali e del Turismo e della Presidenza del Consiglio dei Ministri dedicata a promuovere la cultura. Il programma, destinato a chi compie 18 anni nel 2016, permette loro di ottenere 500€ da spendere in cinema, concerti, eventi culturali, libri, musei, monumenti e parchi, teatro e danza. I ragazzi hanno tempo fino al 30 giugno 2017 per registrarsi al Bonus Cultura e fino al 31 dicembre 2017 per spendere il bonus.

Nella mail che vi mostriamo in apertura viene invece promesso tale bonus economico anche alle famiglie tramite Bonifico SEPA che verrà accreditato sulla carta Evolution di Poste Italiane, inoltre avvisa l’utente che i fondi possono terminare spingendolo ad affrettarsi nel completare la procedura.

Selezionando il link “Procedi” l’utente viene rediretto sul dominio ingbnl.com che visualizza al cliente un perfetto Kit di Phishing ai danni di Poste, come è possibile visualizzare nello screenshot seguente.

Il kit effettua una verifica dei dati inseriti dall’utente riportando un eventuale errore delle credenziali digitate, nel seguente screenshot simulando l’inserimento del nome utente “test.test” e password “test123456” viene riportato all’utente un errore delle credenziali inserite.

Il dominio ingbnl.com sfruttato in questa campagna di Phishing concatena le sigle di due istituti di credito Italiani ING (ING Direct) e BNL (Banca Nazionale del Lavoro) confermando l’ipotesi che sia stato creato ad-hoc per eseguire delle attività fraudolente. Da un whois apprendiamo i seguenti dati (oscuriamo volutamente il numero di cellulare):

Domain Name: INGBNL.COM
Registry Domain ID: 2087790266_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.register.it
Registrar URL: http://we.register.it
Updated Date: 2017-01-06T00:00:00Z
Creation Date: 2017-01-06T00:00:00Z
Registrar Registration Expiration Date: 2018-01-06T00:00:00Z
Registrar: REGISTER.IT S.P.A.
Registrar IANA ID: 168
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: +39.5520021555
Reseller:
Domain Status: ok
Registry Registrant ID:
Registrant Name: Michele Pitzeri
Registrant Organization: Michele Pitzeri
Registrant Street: VIA PIO LA TORRE 15
Registrant City: SAN SPERATE
Registrant State/Province: CA
Registrant Postal Code: 09026
Registrant Country: IT
Registrant Phone: +39.33175487XX
Registrant Phone Ext:
Registrant Fax: +39.33175487XX
Registrant Fax Ext:
Registrant Email: [email protected]

Tramite una operazione di OSINT sull’indirizzo eMail riportato rileviamo un profilo Facebook denominato “Ministero DelleFinanze” a conferma di una operazione debita ad effettuare frodi bancarie.

Dalle modalità operative e di struttura del Kit di Phishing ricolleghiamo questo Team a casi di Telefonia, ENI/Agip, Carrefour degli anni passati.

/2 Commenti/da

Phishing Hello Bank FR

Gli accertamenti svolti nell’ultimo mese hanno portato all’individuazione di un nuovo sito di Phishing a danno degli utenti della banca online francese Hello Bank, appartenente al gruppo BNP Paribas.

Il sito fraudolento riporta il logo e la grafica del sito originale e la frode mira a carpire le credenziali d’accesso degli utenti sul portale.

 

Una volta inserite le credenziali l’utente viene reindirizzato sul sito legittimo di Hello Bank.

 

 

L’analisi dettagliata del caso ha permesso di identificare il kit di phishing adoperato dal phisher nel quale si evidenza la presenza di un file php che gestisce le credenziali sottratte alle vittime che vengono inviate ad un indirizzo eMail specifico. Ha inoltre consentito di rilevare particolari comuni a più attacchi a danno di Hello Bank, condizione che porta ad ipotizzare che tali azioni siano ad opera di uno specifico gruppo al momento concentrato su la questa banca online.

/da

Falsa Fattura Vodafone distribuisce Cerber Ransomware

Durante lo scorso week-end abbiamo rilevato un invio massivo di eMail contenenti la comunicazione di una Falsa Fattura dell’operatore telefonico Vodafone, il messaggio richiedeva il saldo della fattura AG20887715 intestata a Luigina Canale di un importo complessivo di 61.18euro. Il layout rispetta quasi fedelmente quello sfruttato dall’operatore per inviare la legittima comunicazione.

Selezionando il pulsante con sfondo rosso riportante la scritta “Vai alla fattura” l’utente scarica attraverso il sito https://intrumnl[.]000webhostapp[.]com un archivio ZIP contenente un file JavaScript denominato fattura n. AG20887715.js, tale script una volta eseguito effettua il download del file encrypted.exe e lo esegue nel sistema.

Il file JavaScript è opportunamente offuscato per impedire ad un Antivirus l’immediato riconoscimento di una minaccia come potete visualizzare dal seguente screenshot:

Infine l’esecuzione dell’eseguibile encrypted.exe permette al Cerber Ransomware ci cifrare i documenti e i file dell’utente nel computer, richiedendo un cospicuo riscatto per riottenere i propri file originali.

 

Il sample del malware è disponibile su Hybrid Analysis, su Virus Total è invece disponibile la scansione in cui si evince che solo 12 Antivirus su 55 rilevano una minaccia del file eseguibile.

/da

CMS Magento: Alterazione dei file originali per recuperare Carte di Credito

magento-logo

I Phisher nel corso da fine 2015 fino ad oggi sfruttano in maniera importante i siti internet con il CMS Magento a seguito della pubblicazione della vulnerabilità CVE-2015-1397. Questa vulnerabilità permette ad un malintenzionato di creare un nuovo utente con i permessi di amministratore, registriamo una media di 3 nuovi casi di Phishing giornalieri che sfruttano questa vulnerabilità.

Il CMS Magento viene fortemente utilizzato per creare dei siti di eCommerce, conseguentemente le informazioni presenti nel Database possono essere preziose per un malintenzionato.

Solitamente gli attaccanti una volta ottenuto i permessi di amministratore si limitano a caricare un Plugin che gli permette di editare i file esistenti, alterando quindi la struttura del sito internet al fine di caricare una webshel e il kit di Phishing.

Ma come è già capitato in passato con il CMS PrestaShop, nell’ultimo periodo abbiamo rilevato dei tentativi di alterazione del codice sorgente del CMS o di estrazione di dati sensibili dal Database.

magento_stealing_information

Grazie alla collaborazione di un Webmaster abbiamo analizzato tutti i file presenti nel dominio, rilevando la presenza di un kit automatico che permette di estrarre le seguenti informazioni:

  • Username e Password (hash) degli amministratori;
  • Configurazione del Database del CMS (Host, Username, Password);
  • Username e Password (hash) degli utenti registrati sul sito;
  • Carte di Credito memorizzate nel Database (solo se il CMS non si appoggia a servizi esterni come PayPal);
  • Indirizzi degli utenti.

Inoltre viene alterata la struttura del CMS creando un invio automatico delle Carte di Credito inserite dal legittimo utente in fase di registrazione.

 

magento_alterazione_codice_sorgente_cdc

Il file /app/code/core/Mage/Payment/Model/Method/Cc.php viene alternato includendo come visibile nello screenshot precedente una porzione di codice che acquisisce i dati della Carta di Credito inserita dall’utente e la invia via eMail al Phisher. L’eMail al fine di non essere identificata da un eventuale scanner è stata riportata con la codifica base64, la funzione PHP base64_decode() provvederà successivamente alla decodifica dell’indirizzo.

Quest’ultima è una operazione che permette al Phisher di ottenere i dati di nuove carte di credito in tempo reale anche successivamente all’aggiornamento e relativa bonifica del CMS. Poiché purtroppo si tende ad aggiornare Magento e a eliminare utenti malevoli senza controllare la struttura dell’intero sito internet.

 

magento-auto-exploiter

 

La “firma” dell’attaccante, come visibile nella porzione di codice sopra mostrata, fa riferimento ad una sviluppatrice indonesiana, presente sia sui social, dove pubblicizza i suoi tools, che su Zone-H, forum dedicati all’hacking ed al carding, nonché portali di ingaggio di freelance.
E’ opera sua il tools per Windows in grado di eseguire in maniera automatica la modifica del file Cc.php su una lista predefinita di siti forniti. Tool che oltre a modificare il File System del CMS Magento estrapola le statistiche di vendita con l’importo totale degli ordini effettuati sul sito e la media degli ordini, verifica inoltre se è stato impostato un server SMTP per l’invio dell’eMail, verificando inoltre la funzionalità del server SMTP poichè può tornare utile ad un malintenzionato per inviare ulteriori eMail di scam da nuovi server che non sono presenti nelle BlackList RBL.

/da

La sécurité sociale française encore visée par les criminels informatiques

,

Ces derniers jours de nouvelles tentatives de fraude ont été enregistrées aux dépens de la Caisse d’Allocations Familiales, communément désignée comme CAF.

La Caisse d’Allocations Familiales est une organisation qui soutient les familles en situation de précarité.

Dans ce cas les criminels ont réalisé une tentative de fraude au moyen d’une page clone insérée dans un site violé, la mairie de Pise.

Continua a leggere

/da

La previdenza francese ancora nel mirino dei cyber criminali

Nei giorni scorsi si sono registrati nuovi tentativi di frode a danno di Caisse d’Allocations Familiales, comunemente chiamato CAF.

Il fondo assegni familiari è un’ organizzazione che sostiene le famiglie con situazioni di precarietà.

In questo caso i  criminali hanno realizzato un tentativo di frode attraverso una pagina clone posizionata in un sito violato, Il Comune di Pisa.

Continua a leggere

/da
société général phishing paqe

La Société Générale FR est elle aussi prise pour cible par les phishers!

,

Ces derniers jours le D3Lab a découvert des pages de phishing visant à frapper un nouvel institut bancaire français, la Société Générale, la septième banque au classement par capitalisation des groupes bancaires de la zone Euro, où elle favorise le développement du commerce et de l’industrie française.

Continua a leggere

/da

Anche Société Générale FR cade nel mirino dei phisher!

Negli ultimi giorni D3Lab ha individuato pagine di phishing volte a colpire un nuovo ente bancario francese, la Société Générale, settima banca nella classifica per capitalizzazioni dei gruppi bancari della zona Euro, in cui favorisce lo sviluppo del commercio e dell’industria francese.

Continua a leggere

/da

Libero Mail Phishing con dominio Ad hoc

Libero Mail Phishing

Dallo scorso 24 Ottobre è attiva una campagna di Phishing ai danni degli utenti Libero Mail finalizzata all’acquisizione esclusiva delle credeziali dell’account di posta elettronica. Il Phisher per ingannare maggiormente la vittima ha creato il dominio Ad hoc login-webmail-libero.com che può far pensare ad un sito autentico.

Il Whois del dominio ci riporta che è stato sfruttato un servizio di Privacy Protection per nascondere il proprietario del dominio.

Creation Date: 2016-10-06T18:43:00.00Z
Registrar Registration Expiration Date: 2017-10-06T18:43:00.00Z
Registrar: ENOM, INC.
Registrar IANA ID: 48
Reseller: NAMECHEAP.COM
Domain Status: clientTransferProhibited https://www.icann.org/epp#clientTransferProhibited
Registry Registrant ID:
Registrant Name: WHOISGUARD PROTECTED
Registrant Organization: WHOISGUARD, INC.
Registrant Street: P.O. BOX 0823-03411
Registrant City: PANAMA
Registrant State/Province: PANAMA
Registrant Postal Code: 0
Registrant Country: PA
Registrant Phone: +507.8365503
Registrant Phone Ext:
Registrant Fax: +51.17057182
Registrant Fax Ext:
Registrant Email: [email protected]

Analizzando il kit di Phishing rileviamo che è stato realizzato con l’intento di eludere le BlackList dei filtri anti-phishing grazie alla generazione random di url.

L’utente caduto nella trappola verrà indirizzato ad una finta pagina che gli conferma il corretto inserimento dei dati, anche se il kit non prevede realmente la verifica dell’username e delle password, e infine rediretto verso il sito ufficiale di Libero.

Libero Mail Phishing Verifica Credenziali

Attraverso l’attività di analisi del tentativo di phishing è stato possibile recuperare le credenziali carpite dai criminali, dalla cui analisi si rileva la presenza di:

  • 418 eMail @libero.it;
  • 5 eMail @inwind.it;
  • 2 eMail @hotmail.it
  • 2 eMail @iol.it;
  • 1 eMail @gmail.com.

E l’inserimento di 558 inserimenti di password, così composte:

  • 13 password contenti un simbolo (@, !, #, ecc)
  • 53 password composte esclusivamente da numeri;
  • 30 password composte da almeno una lettera maiuscola;
  • 306 password composte esclusivamente da letture minuscole;
  • Nessuna password generata tramite una funzione random.

Le credenziali sottratte verranno quasi sicuramente utilizzate per inviare ulteriore Phishing o Spam ad altri utenti o alle rubriche eMail salvati all’interno degli account sottratti.

/da