console di monitoraggio del phisher

Phishing con C2 per aggirare i token otp

Da tempo si ritiene che l’utilizzo di dispositivi OTP (one time password) sia riuscito a minare le possibilità dei cyber criminali intenzionati ad accedere ai conti correnti degli utenti da cui movimentare i soldi attraverso bonifici, ricariche telefoniche, pagamenti su conti correnti postali, ecc..
E’ innegabile che negli ultimi anni vi sia stato un forte calo dei tentativi di frode di questo tipo, a favore di attacchi di phishing finalizzati a carpire i dati di carta di credito, la cui richiesta può essere inserita in contesti meno allarmanti/sospetti (ricariche telefoniche, acquisto carte ricaricabili, ecc…).

Tuttavia gli attacchi di phishing all’internet banking non sono affatto superati ed hanno anzi visto alcuni gruppi criminali specializzarsi in essi adottando metodiche di interazione diretta con l’utente che consentono loro di sfruttare in tempo reale il token OTP generato dall’utente o dallo stesso ricevuto via sms.

Nel novembre scorso  l’‘attività di analisi di un tentativo di frode a danno di un istituto bancario di livello nazionale ha permesso a D3Lab di recuperare il kit di phishing, l’insieme di file usati dal criminale per proporre in internet le proprie pagine fraudolente, il cui esame ha evidenziato la presenza di un pannello di controllo in stile bot-net.

pannello di controllo del cyber criminale

Mantenendo questo pannello aperto sul proprio browser il cyber criminale riceveva un segnale sonoro ogni qualvolta un utente inserisse le proprie credenziali, avendo così modo di intervenire in tempo reale, sfruttando i diversi token otp richiesti dalle pagine di phishing nel breve lasso di tempo della loro validità e riuscendo in tal modo ad ordinare bonifici e pagamenti.

L’analisi del kit, realizzato in php, denotò la sua estremamente funzionalità, sebbene non presentasse una realizzazione particolarmente complessa e non facesse uso di data base, caratteristica che lo rende facilmente installabile all’interno dei siti violati usualmente usati dai phisher.

Nell’ultimo bimestre 2014 questa tipologia di kit è stato individuato in attacchi di phishing a danno di due istituti bancari nazionali e di una grande gruppo bancario che raccoglie oltre una decina di istituti con diffusione su tutto il territorio nazionale.

L’analisi dei file costituenti il kit recuperato e delle pagine web che le sue varianti propone ha fornito elementi che lasciano ipotizzare una sua origine est-europea. Non è al momento dato sapere se questi kit siano in uso agli stessi soggetti che li hanno realizzati o se siano acquistabili sul mercato criminale e ad operare possano essere soggetti italiani. Ciò che è certo è che chi opera lo fa con estrema rapidità, riuscendo in pochi secondi ad ordinare e autorizzare pagamenti per svariate migliaia di euro.

I tentativi di frode individuati erano attacchi di phishing tradizionale, veicolati attraverso le usuali mail fraudolente, senza che venisse fatto alcun uso di codici malevoli, evidenziando ancora una volta le notevoli potenzialità di questa tipologia di attacchi.

/1 Commento/da
mail con malware

Malware via mail anche certificata

Nella giornata odierna sono stati individuati due diversi messaggi di posta elettronica contenenti malware in allegato.

Caso 1:

il messaggio di posta attraverso cui il malware è veicolato fa riferimento all’acquisto di prodotti hardware e software. In allegato è presente il file zip sottomissione983958F.zip contenente un secondo archivio zip avente il medesimo nome, al cui interno è presente il file eseguibile sottomissione983958F.exe

mail con malware

Si rappresenta come nel mese di febbraio una mail con contenuti similari sia stata usata per veicolare l’infezione da malware della tipologia cryptolocker che ha avuto vasta diffusione colpendo moltissimi sistemi aziendali. Il file eseguibile viene riconosciuto quale malware da 18/57 anti-virus engine del servizio VirusTotal (report)

 

Caratteristiche della mail:

 

Caso 2:

Il secondo caso risulta particolarmente insidioso in quanto fa uso di posta certificata attraverso cui veicolare l’infezione, facendo semplicemente riferimento all’invio di documenti richiesti e presenti in allegato. Il messaggio sembrerebbe essere stato inviato facendo uso dei servizi pec di actalis.it.

Allegati al messaggio involucro si trovano il file:

  • daticert.xml;
  • postacert.eml, il messaggio vero e proprio;
  • “scan 2930003 del 09 04 2015.zip”, il malware

 

L’allegato “scan 2930003 del 09 04 2015.zip” contiene il file “scan 2930003 del 09 04 2015.scr” riconosciuto quale malware da 28/56 anti-virus engine del servizio VirusTotal (report)

mail certificata con virus

 

Caratteristiche della mail:

E’ interessante notare che i destinatari della mail sono indirizzi mail non facenti parti dei servizi di posta gratuiti, ma collegati a domini privati/aziendali, evidenziando l’interesse di colpire un target specifico .

/da
analisi di VirusTotal

Malware con mail INPS

Proseguono senza sosta i tentativi di portare gli utenti del web a compromettere i propri sistemi attraverso l’invio di mail con collegamenti a malware o con eseguibili in allegato.

Il tentativo odierno è veicolato attraverso una mail apparentemente inviata dall’INPS, per il preavviso di accertamento relativo ai contributi, avente le seguenti caratteristiche:

Subject: INPS: Preavviso di accertamento per la pratica 33905717

From: “Shafira Chaney” <[email protected]>

testo:

Si trasmette in allegato il preavviso di accertamento negativo relativo ai Durc attualmente in istruttoria presso la sede di CATANZARO.

 

Questo e’ un messaggio di posta elettronica generato automaticamente dal sistema. La preghiamo di non rispondere/inviare email all’indirizzo mittente, perche’ e’ una casella applicativa, pertanto qualsiasi messaggio non  sara’ letto. Per individuare le modalita di contatto dell’INPS, si prega di visitare il portale dell’INPS (www.inps.it).

Clausola di riservatezza

Le informazioni contenute in questo messaggio di posta elettronica sono riservate e confidenziali e ne e vietata la diffusione In qualunque modo e seguita. Qualora Lei non fosse la persona a cui il presente messaggio e destinato, La invitiamo gentilmente ad eliminarlo dopo averne dato tempestiva comunicazione al mittente e a non utilizzare in alcun caso il suo con tenuto. Qualsiasi utilizzo non autorizzato di questo messaggio e dei suoi eventuali allegati espone il responsabile alle relative conseguenze civili e penali.

Notice to recipient

This e-mail is strictly confidential And meant For only the intended recipient of the transmission. If you received this e-mail by mistake, Any review, Use, dissemination, distribution, Or copying of this e-mail Is strictly prohibited. Please notify us immediately of the Error by Return e-mail And please Delete this message From your system. Thank you In advance For your cooperation.

—————————————

Il file allegato Preavviso___Accertamento___RNRRRT82P17C352E.zip contiene un eseguibile con estensione .PIF a cui Virustotal da un rating di 8 su 57 !!

 

analisi di VirusTotal

 

Sebbene il sorgente della mail mostri un invio da client di posta Microsoft

X-Mailer: Microsoft Windows Live Mail 16.4.3528.331
X-MimeOLE: Produced By Microsoft MimeOLE V16.4.3528.331

si ha in realtà evidenza dell’utilizzo di uno script php quale mailer

X-PHP-Originating-Script: 48:mailout.php

apparentemente inoculato in un sito statunitense basato su WordPress.

/da
falsa mail

Ancora malware dai corrieri

Prosegue il tentativo di infezione rilevato nei giorni scorsi con l’invio di false mail apparentemente provenienti da servizi di corrieri.

I veicoli di infezione impiegati oggi dei criminali sono due differenti mail apparentemente inviate da TNT e da Corriere Bartolini.

falsa mail

 

 

Subject: NUMERO TRACKING N* 7277 – 4132 – 1994 – 1678

From: “Servizi TNT” <[email protected]>

testo (html):

Buongiorno,

Il tuo pagamento a avuto esito positivio , i detagli relativi dell pagamento e il numero di tracking so sull link sotto.

Link: hXXp://bagmar[DOT]com/order/fattura1.pif?[email protected]

 

falsa mail

 

Subject: NUMERO TRACKING N* 5790 – 3514 – 4884 – 2180

From: “BARTOLINI” <[email protected]>

testo (html):

Buongiorno,

Il tuo pagamento a avuto esito positivio , i detagli relativi dell pagamento e il numero di tracking so sull link sotto.

link: hXXp://bagmar[DOT]com/order/[email protected]

Sulle  mail box di Libero e Virgilio i messaggi vengono inseriti nella directory SPAM.

Al momento sembrerebbe che qualcosa non sia andato nel verso giusto per i criminali: le mail inviate poco prima delle ore 09:00 CET richiamano loghi non presenti ed anche i file eseguibili, con estensione PIF, non sono più presenti.

L’assenza di tali file è presumibilmente da  imputarsi alle richieste di  bonificato e messo in sicurezza del sito web, inoltrate da D3Lab nei giorni scorsi, a causa dell’utilizzo del sito in numerosi casi di phishing.

altri attacchi di phishing facenti uso del medesimo sito compromesso

 

Il ripetersi del tentativo di infezione, ad opera dei medesimi autori, già distintisi per una vivace attività nell’ambito del phishing tradizionale, lascerebbe tuttavia supporre che gli stessi abbiano avuto un positivo riscontro dalla precedente azione, nonostante la presenza di numero errori grammaticali nel testo del messaggio.

/da
mail fraudolenta

Malware con mail TNT

E’ da poco stata rilevato un nuovo tentativo di infezione attraverso l’invio di mail con malware in allegato.

Nel caso odierno la mail apparentemente inviata dal corriere TNT, che sembrerebbe essere partita da un indirizzo ip francese,

 

mail fraudolenta

 

presenta le seguenti caratteristiche

Mittente apparente: “TNT” <[email protected]>

Oggetto: NUMERO TRACKING N* 5784 – 7272 – 3460 – 6312

testo (html):

Buongiorno,

Abiamo chiamato il numero rilasciato al momento dell ordine pero era chiuso,

Il tuo pagamento a avuto esito positivio , i detagli relativi dell pagamento e il numero di tracking so sull link sotto.

 

———————————

Il link celato sotto l’icon dei file PDF porta al download del file fattura.pif, estensione questa di una tipologia di file eseguibili per sistemi Microsoft Windows

 

$ file fattura.pif 

fattura.pif: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows

 

Al momento attuale su VirusTotal il file ha uno score di 8/57

responso VirusTotal 

 

Appare interessante rilevare negli headers della mail:

– l’utilizzo di un message-id compatibile con l’apparente mittente del messaggio

Message-ID: <[email protected]>

– il possibile tentativo di fuor viare l’identificazione del reale indirizzo ip mittente

Received: from 212.48.24.20 ([185.7.213.127])

by smtp-08.iol.local with bizsmtp

id qEPD1p0122lV0zd08EPDly; Mon, 09 Feb 2015 15:23:13 +0100

– l’apparente utilizzo di The Bat! quale software per l’invio del messaggio

X-Mailer: The Bat! (v1.52f) Business

 

il link da cui viene proposto il download del file è il seguente

hxxp://hassanbrothers[DOT]com/[email protected]

L’utilizzo di tale dominio presenta un chiaro legame con un gruppo criminale molto attivo, che nelle scorse settimane ed oggi stesso

utilizzo del medesimo url in casi di phishing

ha impiegato tale dominio per ospitare redirect con i quali ha portato i visitatori su finte pagine di VIsa Italia, ma non solo.

Non è al momento nota la funzionalità del malware in questione, si consiglia la massima cautela.

Update ore 21:54 09/02/2014:

il sito hassanbrothers[DOT]com sembrerebbe essere stato bonificato sia dal malware che dai file di phishing.

/da

Partnership IKS – D3Lab per l’antifrode

Nella giornata di ieri è stata ufficializzata, attraverso comunicato stampa su alcune testate Web, la sottoscrizione di un accordo pluriennale tra IKS e D3Lab.

IKS è una società di consulenza e sviluppo di soluzioni per la sicurezza e l’anti-frode in ambito IT, da tempo leader nel settore dell’anti-frode online attraverso SMASH soluzione sviluppata dalla controllata Kleis.

D3Lab opera invece prevalentemente nel settore del monitoraggio e contrasto al phishing.

La partership tra le due aziende permetterà di integrare le risultanze del monitoraggio dei casi di phishing condotto da D3Lab in SMASH, fornendo attraverso il cruscotto della soluzione IKS un potente strumento di contrasto alle frodi on-line.

Per quanti interessati a maggiori informazioni si rimanda al comunicato stampa pubblicato su BITMAT.

/da
comunicato stampa TotalErg

Phishing Total Erg, alcune considerazioni

Durante la notte abbiamo svolto alcune ricerche in rete in relazione all’attacco di phishing a danno di Total Erg rilevato nella serata di ieri 27 Novembre 2014, da cui è emersa l’esistenza di casi precedenti verificatisi già a fine ottobre.

Fabio Natalucci descrive in un articolo estremamente ben fatto, “Analisi di un caso di Phishing: SMS TotalErg acquisto buoni carburante“, un caso verificatosi nella seconda metà di ottobre, periodo al quale risale anche il comunicato stampa TotalErg “TotalErg nel mirino delle truffe online“.

comunicato stampa TotalErg

 

Sembrerebbe tuttavia che la campagna di phishing sia in realtà stata avviata ben prima, come suggerirebbero indicare le date rilevate nei tag aggiunti dal programma di copia usato per clonare il sito TotalErg.

 

D3Lab opera prevalentemente in ambito phishing, inserita da tempo in un network di professionisti della sicurezza informatica e dell’analisi forense, diversi dei quali collaborano come segnalatori riportando i casi rilevati con tempestività. Nonostante ciò la campagna di attacco, attiva ormai da molte settimane è stata rilevata solo ieri sera. L’utilizzo degli SMS quali veicolo dell’attacco permette ai criminali di far passare l’aggressione molto sotto traccia.

Al momento l’articolo da più parti linkato rimane quello di Natalucci. Questo evidenzia come gli attacchi sarebbero totalmente passati sotto silenzio se uno di questi casi non fosse stato riportato ad un esperto della sicurezza ICT, che rilevandone la peculiarità e pericolosità lo ha analizzato e descritto.

TotalErg, da parte sua, ha evidenziato alla clientela l’esistenza della minaccia, cogliendo il doppio risultato di tutelare i clienti con un giusto avviso e, importantissimo, di innescare con gli stessi un’interazione, come mostrato nell’immagine sottostante,  utile a tracciare il nascere di nuovi siti cloni e l’identificazione dei numeri di telefonia mobile da cui gli SMS vengono inviati.

 

post su pagina Facebbok TotalErg

 

Come per altre campagne di phishing condotte via SMS invitiamo i lettori a trasmetterci attraverso i commenti a questo articolo informazioni relative a:

  • sito web indicato nell’sms;
  • numero di telefono mittente.

Tali informazioni, una volta validate dall’amministratore del blog, diverranno pubbliche consentendo a chi deputato al contrasto ed alla’azione investigativa di seguire l’evolversi della campagna di phishing.

D3Lab ringrazia per la collaborazione.

/da
sms di attacco

Phishing TotalErg

Sempre più spesso i cyber criminali si orientano verso la realizzazione di frodi on-line a danno di utenti di enti non bancari. Lo scorso anno terminò con una violenta campagna di phishing a danno dei maggiori operatori di telefonia mobile e della catena della grande distribuzione Carrefour.

In particolare la campagna di attacchi a quest’ultima, che si sviluppo tra la metà di dicembre e la metà del gennaio successivo, fu caratterizzata dall’utilizzo degli SMS via cellulare quali vettori dell’attacco.

Tale tipologia di attacco presenta alcune caratteristiche, discusse nel paper “Phishing via SMS“, che ne elevano la pericolosità rendendo complesse le attività di monitoraggio in assenza delle quali l’azione di contrasto può essere carente.

Il medesimo team criminale autore dei casi a danno di Carrefour torna ora in azione, con phishing veicolato a mezzo SMS, ai danni di TotalErg con un sms che invita ad aderire all’offerta di acquisto di carburante al costo di un solo euro al litro, visitando il sito www.ergshop.org:

TotalErg & Sky, acquista i Buoni Carburante 1,00 euro a litro risparmiando il 60/80%, offerta limitata vai sul nostro sito ERG www.ergshop.org

 

sms di attacco

 

 

Il sito in questione non ha alcun collegamento con TotalErg SpA, risultando invece il dominio intestato ad un italiano presumibilmente ignaro del tutto. La pagina in hosting presso Register.it funziona quale redirect portando al sito clone all’url

http://www.total-erg.mobi/www.totalerg.it/nei-nostri-punti-vendita/buoni-carburante-elettronici/buoni-carburante-web-acquisto-online.html

pagina clone

 

in hosting su A Small Orange. Le pagine clone risultano essere il risultato di una brutale azione di copia del sito totalerg.it realizzata in data 19 Agosto 2014, alle ore 19:46 ora italiana dato che potrebbe avere la sua rilevanza per lo svolgimento di taluni accertamenti.

copia del sito totalerg

 

 

Le successive pagine clone, visitabili premendo il pulsante “Acquista ora”, sono (come di pressi con questo gruppo criminale) finalizzate alla cattura di dati personali e dei dati delle carte di credito.

seconda pagina clone

 

terza pagina clone

 

pagina clone finale

 

Il kit di phishing, piuttosto elaborato, svolge un’azione di distinzione in base al BIN (bank identification number) della carta di credito, le prime sei cifre, in base al quale determina l’ente emittente, indirizzando l’utente su pagina clone interne al kit riproducenti la grafica ed i loghi di oltre una decina di istituti, tra cui Barclays, BCC, Fineco, Gruppo Bipiemme, ING Direct, Deutsche Bank, UBI Banca, Unicredit…

clone barclays

 

 

clone UBI

 

clone unicredit

 

TotalErg già a conoscenza del tentativo di frode evidenzia la minaccia ai visitatori del proprio sito attraverso un vistoso banner che risulta, correttamente, impossibile ignorare.

warning TotalErg

 

Come per la campagna di phishing delle scorso anno a danno di Carrefour, anche in questo caso invitiamo i lettori a trasmetterci attraverso i commenti a questo articolo informazioni relative a:

  • sito web indicato nell’sms;
  • numero di telefono mittente.

Tali informazioni, una volta validate dall’amministratore del blog, diverranno pubbliche consentendo a chi deputato al contrasto ed alla’azione investigativa di seguire l’evolversi della campagna di phishing.

D3Lab ringrazia per la collaborazione.

 

Considerazioni successive 28/11/2014 10:20: “Phishing Total Erg, alcune considerazioni

 

/da
mail phishing

Recrudescenza phishing Libero.it

Si sta assistendo in questi giorni ad una recrudescenza di attacchi di phishing a danno degli utenti di Libero.it. I casi PHISH 1 e 3 si presentano di fattura rozza, mentre i restanti casi PHISH 2, 4 e 5, che risultano accomunati dalla medesima mano, come determinabile dal similare layout grafico e dall’impiego dei medesimi host ed ISP, presentano un layout decisamente più curato sia per la mail di attacco che per le pagine clone.

 

PHISH 1

Mail rilevata il 27 ottobre, si presenta come phishing di vecchio stampo, con i dati che vengono inviati al criminale rispondendo alla mail stessa.
La mail di attacco è partita presumibilmente dal sito web violato di una prefettura brasiliana, le credenziali venivano invece inviate ad un account di posta presso il provider cinese 163.com. 

mail phishing

 

 

PHISH 2

Mail del 31/10/2014, partita da indirizzo ip nigeriano e transitata su server di posta brasiliano. Sebbene l’italiano con cui il messaggio è scritto presenti diverse “increspature”, il layout grafico risulta decisamente più curato.

mail di phishing 31/10/2014

 

 

il link proposto nella mail porta a pagine clone (http://fleetblueupdate.com/admin/libero/) su host statunitense, riproducenti le grafica della pagina di login, con immagini richiamate direttamente dal dominio libero.it

pagina clone

 

 

PHISH 3

Mail sempre rilevata il 31/10/2014, scritta in lingua inglese, partita da un account di posta del provider sloveno Telmach Comminication Services.

mail di phishing 31/10/2014 in lingua inglese

 

Le pagine web a cui portava il link, su host Amazon, non sono più attive e si presentavano assolutamente grezze e non customizzate sul target.

pagine di phishing grezze

 

 

PHISH 4

Mail del 03/11/2014, si presenta come evoluzione di quella rilevata nel PHISH 2, ha in comune con essa la medesima rete nigeriana da cui risulta essere partita ed il  server di posta brasiliano su cui è transitata. Si rileva immediatamente come il layout grafico sia il medesimo, solo con il testo di maggior lunghezza.

mail di phishing 03/11/2014

 

Anche in questo caso il clone, ancora attivo (http://starkonline-secure.com/css/upgrade/mailplus/) e posiziona su host statunitense del medesimo ISP del PHISH 2, riproduce il layout della pagina di login di libero.it traendo le immagini dal legittimo dominio.

pagina clone

 

PHISH 5

mail sempre del 03/11/2014, presenta identica grafica e testo di quella del caso precedente, con cui ha in comune il server di posta brasiliano di transito, risultando però essere partita da indirizzo ip USA. La differenza più evidente la si individua nel mittente visualizzato “Libero Support” anziché Libero.it.

In questo caso il clone, che presentava le medesime caratteristiche ed il medesimo hoster del caso precedente, risulta essere off-line.

 

 

/da
articolo dal sito Enel.it

Concorso Esercito 2015 …phishing e fame di lavoro

Ogni giorno i notiziari forniscono allarmanti dati sulla disoccupazione, giovanile e non solo. Il lavoro è diventato un bene ambito quanto il denaro ed il benessere che in condizioni normali dovrebbero derivare dalla sua messa in opera.

I criminali sono da sempre attentissimi alle richieste del mercato, della società, in modo da attagliare le loro frodi ai beni e servizi maggiormente richiesti e se una di queste richieste diviene l’occupazione, i criminali si adeguano e si reinventano selezionatori.

Negli ultimi mesi si è assistito a svariati tentativi di frode finalizzati a carpire i dati delle carte di credito degli utenti del web e veicolati attraverso false offerte di lavoro, nelle quali i dati di carta di credito venivano richiesti al fine di coprire le spese di apertura e gestione pratica di selezione,

In tal modo il phishing abbandona il ramo prettamente bancario e dopo essersi reinventato con offerte relative a ricariche telefoniche, carte acquisti/fedeltà, ecc…, andando a colpire enti non bancari ma legati alla vendita di servizi e beni, ora si slega totalmente dal modulo “acquisto beni/servizi tradizionali” adottando un modulo “acquisto occupazione” che lo sdogana virtualmente rendendolo applicabile a danno di qualunque società.

 

Questo è quanto è accaduto per esempio a danno di Enel, come spiegato dalla stessa società alla pagina “Assunzioni Enel, nessun mandato a società esterne“, di cui si riprota per completezza uno screenshot.

articolo dal sito Enel.it

Enel non si è persa d’animo e, come evidenziato nello screenshot soprastante, ha reagito prontamente presentando querela presso le autorità.

E’ interessante osservare come tale modalità di attacco metta a repentaglio qualunque azienda, qualsiasi marchio, non solo quelle società che erogano servizi attraverso il web, rendendo di per se realizzabili attacchi di phishing con il coinvolgimento di marchi, loghi, società ed enti prima mai considerati.

Nei giorni scorsi D3Lab ha rilevato un tentativo di phishing a danno di quanti erano interessati al concorso per VFP1 dell’Esercito Italiano per il 2015.

Le pagine fraudolente sono state apparentemente clonate da quelle del portale Bloglavoro.com di cui veniva riproposto il tema grafico e l’impaginazione.

pagina fraudolenta

 

Tuttavia mentre BlogLavoro.com indica semplicemente (e correttamente) l’url del sito concorsi del Ministero della Difesa presso cui presentare (per sola via telematica) la domanda di partecipazione al concorso, la pagina fraudolenta propone un link cliccabile,

link malevolo in pagine fraudolenta 

finalizzato a condurre le vittime su una successiva pagina nella quale veniva richiesta la compilazione di un modulo con i dati della carta di credito.

modulo per la cattura dei dati 

L’analisi del codice della pagina web evidenziava con il dati raccolti non venissero gestiti nell’account di hosting, creato ad hoc per la frode ed ospitante le pagine fraudolente, ma bensì inviati ad un Google Docs.

 

/da