Police Advisor Team Training

L’impegno della coalizione militare internazionale impegnata in Afghanistan, di cui l’Italia fa parte, si è orientato verso l’obbiettivo di rendere la nazione Afghana autonoma nel far fronte alle proprie esigenze di sicurezza. Il raggiungimento di tale fine passa attraverso la formazione delle forze armate e di polizia afghane.
L’Italia  partecipa a tale impegno attraverso il dispiegamento in teatro di operazioni dei Police Advisor Team, unità costituite da personale delle nostre Forze Armate che svolgono l’azione di mentoring a favore del neonato law enforcement afghano.

Police Advisor Team Training

D3Lab ha avuto l’onore di essere chiamata a collaborare all’addestramento dei nostri militari impegnati quali Police Advisor Team trasmettendo le proprie competenze in materia di repertamento delle evidence digitali con lezioni tenute presso il Reggimento Addestrativo Aosta del Centro di Addestramento Alpino dell’Esercito (ex Scuola Militare Alpina) di Aosta.

Onorati del compito assegnatoci!

dir tescr/ step 1

Per il secondo giorno consecutivo si presenta agli utenti italiani della rete un tentativo di frode volto a colpire gli utenti della compagnia di telefonia mobile WIND.

prima pagina phishing WIND

La mail fraudolenta conduce gli utenti a pagine clone posizionate posizionate in un server bulgaro

 

inetnum: 91.230.192.0 - 91.230.195.255
netname: ICN
descr: Internet Corporated Networks Ltd.
country: BG
org: ORG-IA836-RIPE
admin-c: BB5325-RIPE
tech-c: BB5325-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-END-MNT
mnt-lower: RIPE-NCC-END-MNT
mnt-by: MNT-POWERNET
mnt-routes: MNT-POWERNET
mnt-routes: ICN-BG-MNT
mnt-domains: MNT-POWERNET
source: RIPE # Filtered

Fine ultimo della frode è naturalmente la cattura dei dati delle carte di credito degli utenti

seconda pagina phishing WIND

che vengono richiesti nella seconda pagina fraudolenta, senza che su di essi venga condotto alcun controllo sulla validità del numero di carta.

La terza ed ultima pagina richiede il Secure Code

richiesta scure code

Per visualizzare le pagine è  necessario far seguire l’url da un indirizzo email. 

visualizzazione in esplora risorse

Durante le notte odierna si è verificato un nuovo tentativo di infettare i computer degli utenti italiani della rete Internet attraverso l’invio di messaggi di posta recanti all’interno del corpo un link ipertestuale per il download di malware camuffato da documento pdf.

Il messaggio avente soggetto “Rimesse Doc!” o “Fwd: Rimesse Doc!” o ancora “Fwd: Rimesse” cerca di ingannare il ricevente facendo riferimento ad una presunta fattura

Ciao,
Si prega di confermare il 20% tt pagamento anticipato.
nei confronti della fattura proforma PO81955/2012
http://dominioviolato.it/Operazione.zip
Aspetto la tua risposta

Cordiali saluti 

Al momento sono stati individuati otto differenti siti dai quali può essere scaricato il file Operazione.it, sette dei quali italiani ed uno austriaco.

 

Il file zip, che Virus Total rileva come malevolo (16/44), contiene un file eseguibile con nome composto da 76 caratteri a cui fa seguito il punto (77°) ed i tre caratteri dell’estensione exe

Operazione.Pdf______________________________________________________________.exe

Sia Windows XP che 7 riconoscono correttamente la falsa estensione pdf seguita dai caratteri underscore.

visualizzazione in esplora risorse

BullGuard anti-virus identifica immediatamente la minaccia.

riconosceimento minaccia

Per il riconoscimento da parte degli altri anti-virus si può fare riferimento al report di Virus Total per il file .exe (17/43).

L’esame degli headers degli otto diversi messaggi di posta ricevuti evidenzia come tutti siano partiti dal medesimo server statunitense.

 

phishing Vodafone UK

Il monitoraggio del phishng internazionale ci ha abituato da tempo a rilevare tentativi di frode nei confronti degli utenti/clenti di Vodafone UK

phishing Vodafone UK

volti ad acquisire le credenziali di accesso all’account personale.

Esaminando uno degli odienri tentativi di frode ai danni dei clienti Poste Italiane

 

phishing Poste Italiane

si è rilavata la presenza nel medesimo spazio di hosting di un tentativo di frode a danno dei clienti/utenti di Vodafone Italia

phishing Vodafone IT

A differenza dell’attacco a danno degli utenti britannici, in questo caso a far gola ai criminali sono i dati della carta di credito degli utenti italiani, ai quali il phisher propone, con questa frode, di effettuare una ricarica del credito telefonico.

falsa procedura pagamento

La falsa procedura di pagamento non utilizza https (cosa non scontata in quanto si sono verificati attacchi con pagine clone inserite all’interno dell’area amministrativa siti di e-commerce per i quali il criminali poteva sfruttare le feature di collegamento a tale sezione del sito per ingannare l’utente sull’utilizzo del protocollo https)

falsa procedura pagamento

sfruttando la grafica della procedura di pagamento di CartaSi/Visa-

falsa procedura pagamento

Il dominio è stato presumibilmente registrato ad hoc il 19 Ottobre 2012 (tre giorni fa) ed il nome appare conforme a trarre in inganno gli utenti italiani Vodafone.

dominio

 

Polizia di Stato italiana

E’ di queste ore l’attacco di social engineering finalizzato a colpire i cittadini di diversi paesi con la falsa contestazione di violazioni correlabili ai reati informatici da parte delle forze dell’ordine, inducendoli a pagare on-line l’importo di una sanzione variabile tra 100 Euro ed i 200 $.

Su un server irlandese della OVH Hosting Limited sono state inserite pagine web fraudolente che, in base l’indirizzo ip del visitatore, propongono una pagina con l’intimazione/contestazione tradotta nella lingua del paese da cui è originata la navigazione, abbinando i loghi ed i nomi delle locali forze di polizia, nonché un box per il pagamento attraverso diversi sistemi di moneta elettronica, quali uKash, PaySafe, MoneyPack, ecc…

Polizia di Stato italiana

 

FBI USA

Polizia Olandese

Polizia tedesca

Nel caso l’utente inserisca un codice uKash valido, per provare è sufficiente cercare in Google immagini “codice uKash”, la pagina si oscura e un banner invita l’utente ad attendere, con il computer acceso, per un ora l’elaborazione del pagamento della sanzione.

pagamento sanzione effettuato

La modalità di pagamento della sanzione limiterà forzatamente gli introiti che i criminali raccoglieranno, un diverso sistema di pagamento, maggiormente diffuso, avrebbe forse potuto dar loro maggiori vantaggi, ma probabilmente avrebbe di contro permesso una maggior tracciabilità delle transazioni.
E’ presumibile che molti cittadini italiani, non conoscendo i sistemi di pagamento proposto e intimiditi dal tenore della comunicazione, telefoneranno ai centralini della Polizia di Stato per avere delucidazioni sulla contestazione e sulle modalità di pagamento, vanificando in tal modo l’aggressione.

Al momento non siamo in possesso del messaggio di posta elettronica fraudolento, ma del solo url di attacco, corrispondente a:

http://jmjmjnphih.trunksite.info/get.php?id=10

Il dominio trunksite.info è stato presumibilmente registrato ad-hoc per la realizzazione della frode

Domain ID:D48056054-LRMS
Domain Name:TRUNKSITE.INFO
Created On:11-Oct-2012 20:01:58 UTC
Last Updated On:11-Oct-2012 20:01:58 UTC
Expiration Date:11-Oct-2013 20:01:58 UTC
Sponsoring Registrar:DomainContext Inc. (R524-LRMS)
Status:CLIENT TRANSFER PROHIBITED
Status:TRANSFER PROHIBITED
Status:ADDPERIOD
Registrant ID:PP-SP-001
Registrant Name:Domain Admin
Registrant Organization:PrivacyProtect.org
Registrant Street1:ID#10760, PO Box 16
Registrant Street2:Note - All Postal Mails Rejected, visit Privacyprotect.org
Registrant Street3:
Registrant City:Nobby Beach
Registrant State/Province:
Registrant Postal Code:QLD 4218
Registrant Country:AU
Registrant Phone:+45.36946676
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:[email protected]

All’indirizzo ip 37.59.109.241 non risulta far capo nessun altro dominio. La risposta del server fornisce qualche informazione in più

HTTP/1.1 200 OK
Date: Mon, 15 Oct 2012 21:44:58 GMT
Server: Apache/2.2.15 (CentOS)
X-Powered-By: PHP/5.3.3
Content-Length: 9119
Connection: close
Content-Type: text/html

confermando, grazie al time stamp, la collocazione del server in Irlanda.
DirBuster non fornisce invece risultati di rilievo

risultato dirbuster

L’esistenza delle pagine allestite per “rispondere” a visitatori provenienti dai diversi paesi è stata rilevata quando, acquisendo la pagina con HashBot, ci si è trovati davanti al codice sorgente facente riferimento all’Interpol

codice della pagina caricata con ip UK

A seguito di ciò è bastato visitare l’url attraverso tor ed altri proxy per rilevare il trucco.

Apparentemente si è di fronte ad una variante della frode portata a mezzo malware che ancora imperversa in rete, con messaggi di posta fraudolenti finalizzati ad indurre i destinatari a scaricare ed eseguire file, con il solo risultato di infettare i propri sistemi con virus “rapitori”, che sequestrano i sistemi, asserendo di sbloccarli a seguito del pagamento della sanzione, come nel caso della Polizia Portoghese citato nelle scorse settimane.

kit phishing paypal

Nelle ultime settimane si è registrato un intensificarsi dei tentativi di frode ai danni degli utenti italiani di Pay Pal.
Un numero rilevante di questi attacchi riportava nell’url malevolo contenuto nel messaggio di posta elettronica fraudolento, l’indirizzo e-mail 

hxxp://sitovilato/fake_directory/[email protected]

L’analisi di quest’ultima tipologia di attacchi ha consentito l’individuazione del kit di phishing, l’insieme dei file contenuti in un singolo archivio che estratti nel sito violato costituiranno il sito clone.

kit phishing paypal

L’analisi del codice php ha consentito il rinvenimento delle credenziali di oltre 1000 utenti, catturate dall’inizio di agosto ad oggi, con cadenza quasi giornaliera.

Le evidence individuate lasciano ipotizzare che gli autori dell’attacco siano i responsabili anche di attacchi agli utenti francesi, belgi e olandesi di Western Union, ente per il quale si sono rilevati diversi attacchi durante l’estate.

falsa pagina della polizia portoghese

L’attività di monitoraggio ha permesso di individuare il tentativo di diffusione di malware, presumibilmente mirato ad infettare i computer dei cittadini portoghesi, attraverso un messaggio di posta elettronica falsamente inviato dalla polizia portoghese allo scopo di convocare il destinatario.

La tipologia di attacco non è nuova essendosi già presentati casi del genere lo scorso gennaio, come riportato sul sito web delle autorità di Lisbona.

L’attacco rilevato in data odierna conduce il destinatario della mail su pagine web inserite in un sito canadese. In esse uno script si occupa di creare sub directory dai nomi casuali nelle quali copiare la pagina riportante il logo della polizia, sulle quali redirige l’utente, e l’eseguibile ad esso collegato via link.

falsa pagina della polizia portoghese

L’analisi dell’eseguibile effettuata da VirusTotal (report) non lascia dubbi sulla natura malevola del file.

Sul sito sono inoltre presenti pagine php per l’invio massivo di mail e shell remote e script per l’individuazione delle credenziali cPanel ed FTP.

enti colpiti dal phishing nel 2° quadrimestre 20120

L’attività di monitoraggio dei tentativi di frode informatica della tipologia phishing effettuata da D3Lab nel secondo quadrimestre 2012 ha permesso di rilevare, in panorama italiano, 487 differenti url di attacco contenute a vario modo in messaggi di posta elettronica di natura fraudolenta, finalizzati a carpire agli utenti di servizi on-line italiani le credenziali di accesso agli stessi e i dati per l’utilizzo di conti correnti on-line e delle carte di credito.

I 487 differenti url facevano capo a 392 differenti domini, numero che tuttavia nasconde una realtà ancor più drammatica essendo costituito da quei domini individuabili nei messaggi di posta, non evidenziando altresì il gran numero di domini coinvolti negli attacchi in qualità di meri raccoglitori di credenziali, basi per l’invio dei messaggi di posta, spazi di hosting per le immagini richiamate nelle pagine e mail fraudolente, domini nascosti da short url e redirect.

Il grafico sottostante mostra la distribuzione delle url individuate nei tentativi di frode agli utenti dei diversi enti/istituti

enti colpiti dal phishing nel 2° quadrimestre 20120

Il confronto di tali dati con quelli rilevati nel primo quadrimestre ed aggiornati con successivi rilievi

 

confronto distribuzione attacchi primo e secondo quadrimestre

evidenzia come il phishing in ambito italiano si sia concentrato, a differenza degli scorsi hanni, prevalentemente sugli utenti di Carta Si e Poste Italiane.
(Nota: Il confronto con il quadrimestre precedente è in parte falsato dalla migliorata capacità di rilevamento ottenuta da D3Lab con lo sviluppo di propri strumenti di monitoraggio)

I restanti istituti, a differenza del 2010 e 2011, hanno potuto giovare di un calo di interesse da parte dei criminali, che non va tuttavia correlato con il subentrato utilizzo di strumenti OTP, infatti i tentativi di frode ai danni degli utenti di Unicredit Banca, Intesa San Paolo, Banca Sella, istituti che da tempo hanno dotato i loro clienti di token OTP, utilizzavano l’interfaccia di home banking dei rispettivi portali all’unico fine di realizzare la cornice grafica per i moduli con i quali vengono richiesti i dati delle carte di credito.

Sono stati sempre finalizzati al furto dei dati delle carte di credito anche i tentativi di frode a danno degli utenti di Telepass Spa e di Gioco Digitale.

In questo quadrimestre si è inoltre notato un netto calo nell’attività di uno dei gruppi criminali più agguerriti, per quanto non particolarmente skillato, che ha apparentemente diradato gli attacchi portati fino ad aprile attraverso il costante utilizzo di redirect e mirante a colpire istituti con piattaforme di home banking ancora legate alla password dispositiva, spostando la propria attenzione verso gli utilizzatori delle carte di credito Visa e Carta Si.

Relativamente alle modalità di attacco utilizzate, vi è una leggera flessione nell’utilizzo di form e redirect a fabore dell’utilizzo di link diretti alle pagine fraudolente.

modalità di attacco

Il monitoraggio svolto in ambito internazionale ha consentito di rilevare nella seconda metà di agosto lo spread di una campagna di attacco nei confronti del ramo francese del gruppo BNP Paribas

clone BNP Paribas francese

che nelle prime settimane di settembre è stato riproposto anche in versione italiana.

clone BNP Paribas BNL

Sempre il monitoraggio in ambito internazionale ha palesato l’interesse dei criminali per tutti quegli enti/servizi presso i quali gli utenti possono o potrebbero pagare con carta di credito. Era stata sviluppata con tale orientamento la campagna di attacchi volta a colpire gli utenti dei servizi del gruppo energetico EDF (Électricité de France) ai quali veniva proposto l’addebito della bolletta su carta di credito.

clone società elettrica francese

Tale era anche l’orientamento delle già citate frodi ai danni degli utenti di Telepass e Gioco Digitale.

mail malevola

Da diversi mesi si assiste ad ondate di messaggi di posta elettronica con i quali il cybercrime veicola le proprie infezioni nel tentativo di trasformare i sistemi degli utenti in zoombi asserviti ai signori delle botnet e di carpire i dati bancari/finanziari.

In questi giorni si sta assistendo ad un nuovo massiccio invio di e-mail

mail malevola

 

 

mail malevola

 

mail malevola

che facendo riferimento ad ordini e prestiti accesi o attivati del destinatario della mail lo spingono ad aprire l’archivio zip in essa likato ed a prendere visione del file pdf contenuto.
In realtà chi riceve il messaggio di posta elettronica non ha a che fare con un documento pdf, ma con un semplice eseguibile rinominato con doppia estensione.
Facendo riferimento alle immagini soprastanti, nel primo caso il file zip scaricato da un sito turco attraverso il link della mail contiene  

Ordine.Pdf______________________________________________________________.exe

La lunghezza totale del nome è di 76 caratteri.
L’archivio risulta essere stato creato l’8 Agosto scorso 

Path = Ordine.zip
Type = zip
Physical Size = 288537

   Date      Time    
——————- —– 
2012-08-08 15:50:33 
——————- —– 

ed il suo contenuto viene riconosciuto quale file malevolo da 31 antivirus su 42 di quelli usati da Virus Total (report).
Nel secondo caso il dominio (su BlueHost) in cui il malware era stato inoculato risulta momentaneamente sospeso, mentre nel terzo caso il file risulta essere già stato cancellato.
Dalle immagini soprastanti si rileva come gli indirizzi di posta dei mittenti palesino l’incoerenza del messaggio di posta, che tuttavia i cyber criminali cercano di rendere credibile citando in fondo al messaggio Cedacri, società da sempre impegnata nel fornire servizi agli istituti bancari.
“Monte Biz” non identifica invece alcun istituto bancario né finanziaria.
L’escamotage di citare una società quale Cedacri potrebbe risultare fatale per i cyber criminali, in quanto una società di rilievo sentendosi danneggiata dall’indesiderato coinvolgimento nell’attività delittuosa,  potrebbe mettere in campo mezzi, strutture e fondi per contrastare il fenomeno e supportare adeguatamente l’azione degli investigatori.
mail di attacco

Nell’ultima settimana di Luglio vi sono state avvisaglie di un attacco agli utenti di Androind via mail.

mail di attacco

Apparentemente l’attacco sembra essere stato veicolato attraverso la mailbox @yahoo.it del mittente, a cui ignoti hanno avuto accesso da un indirizzo ip ungherese

 

estratto degli header

 

 

provvedendo all’invio della mail agli indirizzi collezionati tra i contatti.

Il link visualizzato con Chrome, simulando lo user agent di un dispositivo Android non portava al download di alcunché venendo rediretti ad altra pagina. Al contrario se si accedeva al link da un dispositivo Android si otteneva il download di un file apk. Il browser di default procedeva al semplice download, mentre Firefox per Android proponeva direttamente l’azione di installazione.

 L’immediata scansione con Avast Mobile ha evidenziato la natura della applicazioni scaricate

 confermata dall’analisi on-line con VirusTotal:

Appare evidente che la frontiera dei dispositivi mobili rappresenterà la nuova sfida di phisher e distributori di malware.