Lo scorso anno vi avevamo raccontato del phishing a danno di Carrefour Banca rilevato tra gennaio e febbraio, ieri a circa un anno di distanza i criminali tornano a colpire gli utilizzatori delle carte Carrefour.
L’analisi del caso trae spunto da un tweet di @illegalFawn ricercatore sempre attento a questa tipologia di minacce
Rispetto ai casi di phishing rilevato lo scorso anno la grafica risulta meno curata e il kit sfrutta il sistema delle sub directory con nomi random, create per ogni nuova visita.
https://i2.wp.com/www.d3lab.net/wp-content/uploads/2019/02/20190219_153938.jpg?fit=536%2C435&ssl=1435536Denis D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngDenis D3Lab2019-02-20 10:55:142019-05-09 12:06:36Torna il phishing a danno di Carrefour Banca
Durante il week-end appena trascorso abbiamo rilevato un importante campagna di diffusione malware che sfrutta come vettore di attacco una falsa comunicazione di Vodafone Italia. La comunicazione trasmette all’utente una copia conforme della fattura da lui richiesta.
L’eMail inviata che potete vedere nello screenshot di apertura e testualmente di seguito è correttamente scritta in Italiano e probabilmente copiata da una legittima comunicazione di Vodafone, ma in questo caso è presente un allegato compresso (in formato rar) che contiene un file Visual Basic Script.
Usualmente siamo soliti pensare al phishing come ad una minaccia che colpisce principalmente gli utenti del web nella loro posizione di clienti di un servizio, sia esso bancario, di cloud, ecc…
Ma questo è vero solo in parte, o meglio rappresenta solo uno dei possibili aspetti della vicenda, perché il phishing pur partendo da un attacco finalizzato a colpire un servizio ad uso personale, privato, può facilmente impattare sulla struttura aziendale.
Oggi 12 Febbraio 2019 attraverso la nostra Spam Trap abbiamo rilevato quattro importanti campagne di diffusione Malware che mediante le eMail veicolano la minaccia utilizzando quattro sostanziali motivazioni:
Avviso di una spedizione del corriere DHL;
Mappa aggiornata delle uscite di emergenza;
Fattura sospesa;
Invio della fattura.
Le quattro campagne non hanno in apparenza alcun collegamento tra loro, si ipotizza pertanto che siano ad opera di team criminali differenti.
https://i0.wp.com/www.d3lab.net/wp-content/uploads/2019/02/malspam.jpg?fit=1920%2C1080&ssl=110801920Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2019-02-12 17:29:542019-05-09 12:07:14DHL, Uscite di Emergenza e Fattura Sospesa – Malspam del 12 Febbraio
L’attività di monitoraggio dei data leak condotta da D3Lab opera su svariate fonti al fine di rilevare il rilascio di informazioni sensibili; l’attenzione viene quindi riposta sia sugli ambienti underground e cyber criminali, sia sugli strumenti che da questi possono essere utilizzati ed i siti di “paste” rappresentano uno di questi.
Il monitoraggio della piattaforma Pastebin ha portato dall’inizio dell’anno ad identificare la condivisione di innumerevoli pubblicazioni aventi per contenuto dati personali collegabili ad utenti principalmente italiani, senza che ad oggi sia stato individuato uno specifico target essendo i dati ricollegabili a molteplici enti senza distinzione tra settore pubblico e privato.
I Paste rilevati nelle prime settimane di Gennaio riportavano titoli del tipo “10K VERSI” o “11K IT”, distribuiti in varie versioni.
Nella tarda serata di ieri D3Lab ha rilevato la pubblicazione di un altro Paste contenente record esclusivamente italiani, come nei casi precedenti.
Il Paste dal titolo “5K” è stato pubblicato da utente “guest” e riporta la data del 10 Febbraio – ore 23:49. Il Pasterisulta attualmente rimosso, ma è stato acquisito dalle piattaforme di monitoraggio in uso presso D3Lab.
La particolarità di quest’ultimo Paste risiede nell’individuazione al suo interno di una rilevante presenza di account appartenenti al dominio cri.it, che fa capo alla Croce Rossa Italiana, a cui si aggiunge un nutrito numero di account sempre relativi alla CRI, ma attestati su domini non ufficiali, facenti capo ad enti locali.
Il Paste contiene un elenco composto da 5000+ account email e relative password in chiaro. La lista degli account presenti nel Paste riporta la seguente struttura: email|password
Top 10 domini coinvolti
Come si evince dal grafico, il dominio principalmente coinvolto è “cri.it” con 1658 record, seguito da numerosi domini email utilizzati in Italia.
Domini collegati a cri.it
Dalle analisi del contenuto risultano coinvolti 75 domini collegati alla Croce Rossa Italina suddivisi per sezioni (province e regioni) per un totale di 1813 account della CRI. Di seguito il grafico dei principali domini CRI presenti nel Paste ad eccezione del dominio principale “cri.it”.
Conclusioni
Appare piuttosto palese che i dati pubblicati hanno come target l’Italia, sono infatti 4276 gli account email con dominio .it. Inoltre, in data odierna il contenuto del Paste è stato aggiunto al database della nota piattaforma HaveIBeenPwned e probabilmente molte altre entità operanti sul web sono in possesso dei dati personali in esso riportati.
Poichè un aggressore motivato potrebbe facilmente entrare in possesso di tali dati, si consiglia di ricercare il proprio account all’interno della piattaforma HIBP ed eventualmente provvedere all’immediata modifica della password, soprattutto qualora le medesime credenziali vengano utilizzate per l’accesso ad altri servizi.
Nel pomeriggio odierno si è provveduto a inoltrare la segnalazione a CRI, nonostante le difficoltà di individuare l’ufficio/contatto preposto alla gestione delle minaccia in esame.
https://i1.wp.com/www.d3lab.net/wp-content/uploads/2019/02/Top10.jpg?fit=1053%2C450&ssl=14501053Margarethttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngMargaret2019-02-11 15:48:482019-02-11 15:51:11Esposti 1800+ account della Croce Rossa Italiana
Dalle prime ore di oggi abbiamo rilevato attraverso la nostra spam-trap una importante campagna di diffusione Malware Danabot. Le eMail invitano l’utente a visualizzare una fattura e ne richiedo il pagamento puntuale attraverso un link malevolo contenuto nel testo della eMail.
Come visibile nello screenshot iniziale nel corpo del messaggio è presente un link che conduce al download di un file archivio Zip denominato __faktura_XXXX.zip dove XXXX è un numero variabile. Il file compresso contiene all’interno un file Visual Basic Script (VBS) che ha il compito di scaricare ed eseguire il malware Danabot.
Qualora la vittima aprisse il file vbs lo script inizia ad effettuare chiamate costanti verso il dominio driverupdatefaxas[.]info che restituisce a sua volta un time delay di 8 secondi, dopo circa 40 richieste il dominio restituisce la seguente istruzione powershell offuscata.
Analizzando tale istruzione e deoffuscando il codice si evince che verrà scaricata un ulteriore istruzione powershell dal medesimo dominio.
Tale nuova istruzione contiene il codice sorgente del malware e le istruzioni per l’esecuzione nella macchina della vittima.
Alle 10 UTC odierne solamente 2 antivirus su 53 riconoscevano la minaccia come visibile nel seguente screenshot:
Infine riportiamo un estratto degli IOC più salienti:
https://i2.wp.com/www.d3lab.net/wp-content/uploads/2019/02/Schermata-2019-02-07-alle-11.33.41.png?fit=982%2C517&ssl=1517982Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2019-02-07 15:50:082019-02-07 15:51:33Campagna Italiana Danabot mediante falsa fattura
Nel corso delle attività di contrasto e monitoraggio del phishing, D3Lab ha avuto modo di individuare ed analizzare i rilevi emersi da campagne malspam in circolazione in Italia volte a veicolare malware attraverso l’utilizzo di account email legittimi precedentemente carpiti.
La particolarità della campagna consiste nel controllo preventivo inerente il sistema da compromettere e nelle caratteristiche del file dropper, scaricabile tramite link alla mail, che una volta scompattato assume dimensioni tali da non consentire la sottomissione del sample sulle sandbox online di malware analysis.
Dettagli tecnici
Le email analizzate fanno riferimento a rapporti commerciali precedentemente intercorsi tra le parti. Nello specifico, l’oggetto viene ripreso da conversazioni già intercorse e presenti nella casella di posta ed il contenuto sembra essere il prosieguo di una discussione già intrattenuta tra le parti come una risposta ad una conversazione precedente.
Nel corpo della mail, utilizzando un italiano non del tutto corretto, si invita la vittima a seguire un link al fine di visionare il documento o la fattura/ricevuta.
La mail si conclude con firma originale in calce e riferimenti reali alla società di appartenenza dell’account mittente. Di seguito uno screenshot esplicativo.
Analisi comportamentale
Seguendo il link indicato nella mail, si viene indirizzati alle seguenti URL:
Le Url indicate effettuano un controllo preventivo lato server in merito al sistema operativo che fa richiesta. Solo nel caso in cui la pagina venga visionata da un browser con User-Agent “Internet Explorer” verrà proposto in download un archivio .ZIP da 536 KB denominato:
2018 DICEMBRE DOCUMENTI.zip
Il file archivio contiene al suo interno due file: un .VBS ed un .DAT rispettivamente denominati:
04 DICEMBRE 2018.vbs
dbpreview.dat
Mentre il file .dat è in realtà una JPEG che non contribuisce alla catena di compromissione, il file VBS rappresenta il dropper e cambia nome di frequente.
Il file VBS una volta estratto dall’archivio aumenta notevolmente la dimensione sino a 451,9 MB. Si presume che tale tecnica sia stata utilizzata al fine di non permettere l’upload del file stesso su nessuna delle piattaforme che effettuano analisi del malware. Il codice reale (offuscato), una volta estratto, è composto da poche righe, come visibile dallo screenshot sottostante:
Al fine di rendere il file di grandi dimensioni sono state inserite all’interno del codice numerose righe vuote che grazie all’algoritmo di compressione non hanno dimensione, ma tornano ad essere “presenti” una volta scompattato dal file ZIP.
Il codice decodificato assume la seguente struttura:
Leggendo la sintassi del codice si evince chiaramente che il file VBS ha il compito di collegarsi alla url http://pixelors[.]com/ShareImage.php dalla quale effettua il download di un file “opr.exe” salvandolo nella cartella “%TEMP%” di sistema.
Il sample opr.exe risulta essere un campione appartenente la famiglia Gootkit il cui scopo è quello di intercettare il traffico, raccogliere informazioni, soprattutto bancarie, ed infine comunicare sulla porta 443 con il server di C&C che nel caso in oggetto risulta essere “antoniojguerrero[.]com” risolvibile con indirizzo IP 185[.]248[.]160[.]132.
In fase di esecuzione il malware effettua una serie di controlli per sfuggire alle sandbox e agli strumenti di debug. In tal caso termina l’esecuzione senza effettuare alcuna attività.
Di seguito un’immagine dimostrativa che evidenzia la funzione IsDebuggerPresent() invocata 49 volte e utilizzata per rilevare la presenza di debug attivo in fase di esecuzione.
Una volta accertata l’affidabilità dell’ambiente in cui viene eseguito, il malware si esegue in un nuovo thread, a quel punto modifica le policy dal registro di sistema assegnando il valore REG_DWORD2500 con impostazione 3 in modo da disabilitare la modalità protetta della Internet Zone.
Di seguito le chiavi modificate:
In fine inizia le attività di monitornig e di comunicazione con il C&C.
Indicatori di Compromissione
Di seguito riportiamo gli indicatori di compromissione.
https://i2.wp.com/www.d3lab.net/wp-content/uploads/2018/12/Schermata-2018-12-05-alle-11.55.21.png?fit=1122%2C612&ssl=16121122Margarethttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngMargaret2018-12-06 12:05:192018-12-06 12:14:38Malspam Gootkit con dropper da 450+ MB
Nella analisi odierna del Phishing e relativo contrasto abbiamo identificato una campagna di Phishing ai danni di Saman Bank con l’invio delle credenziali carpite tramite Telegram.
Usualmente i Phisher si inviano le informazioni carpite a mezzo eMail, tramite dei Command and Control o più raramente mediante IRC.
In questo kit di Phishing invece il Phisher sfrutta le API di Telegram per inviarsi le credenziali attraverso un Bot, abbiamo potuto analizzare il kit di phishing poiché è stato dimenticato in formato compresso sul sito web compromesso.
Nell’immagine precedente potete vedere parte del codice del kit in cui viene richiamata la funzione Telegram per poter inviare le informazioni carpite tramite le API.
Il kit conteneva anche la configurazione del BOT permettendoci di identificare il Nick del Bot e del Phisher; i messaggi vengono inviati tramite messaggi privati e non condivise in un canale o gruppo.
Di seguito trovate un esempio dei dati che vengono forniti al Phisher mediante il bot:
https://i2.wp.com/www.d3lab.net/wp-content/uploads/2018/08/Phishing_SamanBank_Telegram_2.png?fit=1072%2C610&ssl=16101072Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2018-08-31 11:30:232018-09-01 11:07:59Il Phisher invia le credenziali delle vittime tramite Telegram
Nella nostra Spam Trap nel week end appena passato abbiamo ricevuto una eMail con mittente “Amazon.it” e oggetto “Per favore rivedi il tuo caso 1989…”, dati gli evidenti errori nel corpo dell’eMail abbiamo inizialmente pensato ad una nuova campagna di Phishing finché non siamo arrivati al collegamento ipertestuale che riporta “https://www.amazon.it/…” come potete notare dal seguente screenshot del codice sorgente.
Una eMail con evidenti errori di battitura ma con un solo collegamento al dominio ufficiale di Amazon. È phishing o è legittima?! 🤔
Ecco questa è stato il nostro dubbio iniziale, poi è bastata analizzarla per capire che si trattava realmente di una eMail di Phishing veicolata attraverso il dominio ufficiale amazon.it!
I Phisher hanno sfruttato il servizio di Amazon Cloud Drive per diffondere un file HTML (amazon (2018-08-24T12_28_44.664).html), la vittima è invitata a scaricare tale file e successivamente ad aprirlo. Aprendo tale file con il Browser vedremo la pagina di Phishing che verrà caricata sfruttando risorse esterne ospitate su un dominio compromesso (366-news[.]com).
La vittima visualizzerà inizialmente una lettera in cui viene dettagliato il problema del pagamento nell’ultimo ordine e la procedura da effettuare per completare il pagamento, successivamente verranno richieste le credenziali Amazon, i dati della carta di credito ed infine una foto del proprio documento, un selfie e una foto della carte di credito.
Come di consueto invitiamo sempre gli utenti a prestare la massima attenzione.
Nella quotidiana attività di monitoraggio dei Social Network effettuata per individuare le segnalazioni da parte di utenti della comunità di eMail o SMS di Phishing abbiamo rilevato un crescente numero di utenti che lamentava di essere stati truffati tramite Facebook a seguito di un contatto con la pagina ufficiale Postepay di Poste Italiane.
A quanto si è potuto appurare le vittime contattano la pagina certificata Postepay tramite l’invio di un messaggio pubblico, usualmente per chiedere supporto o per segnalare eventuali malfunzionamenti dei servizi da loro sottoscritti. Il social care ufficiale di Poste Italiane provvede a rispondere all’utente pubblicamente e nel caso vi fosse la necessità di effettuare ulteriori verifiche lo inviata ad inviare un messaggio privato alla pagina ufficiale contente il codice fiscale e il numero di cellulare. Il truffatore rilevando il messaggio pubblico dell’utente e la relativa risposta ufficiale del social care anticipa l’utente inviandogli un messaggio privato tramite un falso profilo Facebook simulando un vero operatore del servizio clienti. Il falso profilo invia inizialmente un messaggio alla vittima identificandosi tramite un nominativo ed un codice operatore e chiederà alla vittima come può essere utile per la risoluzione del problema. Instaurata la comunicazione il truffatore procede a richiedere il codice fiscale alla vittima, tramite tale dato è possibile determinare se la vittima è registrata o meno sul portale online di Poste Italiane. Qualora l’utente sia già registrato al portale online il truffatore procede a richiedere ulteriori dettagli alla vittima fingendosi interessato a risolvere il reale problema, realmente l’intento è quello di circuire il cliente di Poste Italiane al fine di eseguire addebiti illeciti sulla sua carta di credito prepagata con la complicità dello stesso cliente ignaro della truffa.
Qualora l’utente non sia registrato, il truffatore procederà alla registrazione sul portale di Poste Italiane assieme alla vittima al fine di associare la carta prepagata al nuovo profilo ed eseguire la procedura già descritta nel precedente punto.
Il truffatore è in grado di identificare se la vittima è registrata o meno al portale di Poste Italiane sfruttando la funzione di recupero credenziali, infatti il portale online riporta chiaramente se il codice fiscale è associato ad un cliente o meno.
Abbiamo dato evidenza della nostra analisi a Poste Italiane la quale ci informa che il Computer Emergency Response Team del Gruppo Poste Italiane è a conoscenza del fenomeno e lo sta contrastando con tutti i mezzi a sua disposizione. Il servizio di Brand Protection fa monitoraggio dei canali social per verificare che non vi siano usi impropri dei marchi Poste Italiane. Una volta identificati profili che utilizzano il marchio impropriamente, fa richiesta al canale social per il blocco del profilo stesso. Purtroppo i profili vengono spesso chiusi e aperti in diversi momenti, creando difficoltà nella identificazione e segnalazione. Si fa presente che Poste Italiane ha già informato i propri clienti riguardo tale fenomeno fraudolento, attraverso i canali di comunicazione a sua disposizione.
Simulazione
Al fine di rilevare complessivamente la procedura seguita dai truffatori abbiamo simulato tramite un profilo Facebook la necessità di ricevere supporto dalla pagina Postepay di Poste Italiane. Il 22 Giugno abbiamo inviato il seguente messaggio per richiede al social care su una ipotetica impossibilità di eseguire un pagamento su un noto sito di e-commerce.
Dopo alcuni minuti il profilo “Valentina Minni” con foto profilo ritraente un logo di Poste Italiane provvede a richiederci l’amicizia. Link profilo: https://www.facebook.com/valentina.minni.3939 (copia http://archive.is/omi58)
Il falso profilo di Valentina Minni inizia successivamente a scriverci tramite Facebook Messanger, presentandosi inizialmente con un falso codice operatore e ci chiede come può aiutarci. Spiegata la nostra, falsa, problematica riguardante l’impossibilità di effettuare un pagamento causa blocco del 3D Secure il falso operatore ci avvisa che tale servizio va attivato e ci invita ad indicargli il nostro codice fiscale.
Fornendogli un Codice Fiscale generato in maniera casuale ma attinente al nome del profilo Facebook, il truffatore ci avvisa che non siamo registrati sul sito di Poste Italiane e ci invita ad effettuare la registrazione assieme a lui al fine di attivare il 3D Secure.
Come scusa abbiamo indicato che la carta prepagata era intestata alla moglie della probabile vittima e che normalmente venivano sfruttate le credenziali della signora per eseguire il login al portale di Poste.
Dopo alcuni secondi dall’ultimo messaggio il profilo Facebook del truffatore è stato sospeso, probabilmente a seguito della segnalazione di un’altra probabile vittima.
Il truffatore non si da per vinto e dopo pochi minuti veniamo contattati nuovamente da un secondo profilo, sempre denominato Valentina Minni ma avente un ID Facebook differente.
Link profilo: https://www.facebook.com/valentina.minni.376 (copia http://archive.is/BRniX)
Abbiamo messo noi ora in atto una tecnica di ingegneria sociale per poter carpire maggiori dettagli del truffatore. Con la scusa di avere i documenti della moglie su DropBox abbiamo condiviso un link al truffatore, enfatizzando la comunicazione con messaggi di vita quotidiana della vittima completamente insignificanti nella risoluzione della problematica.
Il link riportato nella realtà non portava ad alcun documento DropBox ma ad una pagina inesistente sul portale di file sharing, passando però da una pagina intermedia che aveva il compito di carpire alcuni dettagli del truffatore.
Nello specifico abbiamo potuto stabilire l’User Agent del truffatore e il suo indirizzo IP. Il primo dato ci mostra che sfrutta un computer con Microsoft Windows, presumibilmente Windows 7, e il browser Google Chrome, mentre il suo indirizzo era 151.57.29.28.
Tale indirizzo IP risulta essere Italiano e un sevizio di geolocalizzazione lo identifica nelle vicinanze di Napoli.
Questa indicazione, che potrebbe essere certamente falsificata tramite l’uso di Proxy, VPN o rete TOR, convalida un altro sospetto che avevamo fin dall’inizio, ovvero che il truffatore parla un Italiano perfetto, conosce anche la forma di cortesia è l’uso dei pronomi Lei usualmente sconosciuta o di difficile apprendimento per una persona straniera.
Successivamente abbiamo continuato la conversazione, poiché totalmente ignari dell’operazione di tracciatura da noi svolta, scusandoci per non essere riusciti a inviargli i documenti e rimandando la conversazione non appena la finta moglie sarebbe rientrata dal lavoro.
I truffatori hanno poi sottolineato l’importanza della presenza della signora e del suo cellulare poiché fondamentale per concludere l’operazione di attivazione del servizio, ovvero fondamentale per poter ricevere il codice OTP di disposizione di una ricarica postepay.
Concludiamo invitando gli utenti a prestare massima attenzione e di verificare di essere in contatto con la pagina ufficiale di Poste Italiane, sfruttando la funzionalità del badge di verifica offerta da Facebook.
https://i1.wp.com/www.d3lab.net/wp-content/uploads/2018/07/Phishing-Hook.png?fit=1200%2C667&ssl=16671200Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2018-07-16 09:53:522018-07-16 10:00:36Phishing tramite falso Social Care ai danni degli utenti Postepay
Potremmo richiedere che i cookie siano attivi sul tuo dispositivo. Utilizziamo i cookie per farci sapere quando visitate i nostri siti web, come interagite con noi, per arricchire la vostra esperienza utente e per personalizzare il vostro rapporto con il nostro sito web.
Clicca sulle diverse rubriche delle categorie per saperne di più. Puoi anche modificare alcune delle tue preferenze. Tieni presente che il blocco di alcuni tipi di cookie potrebbe influire sulla tua esperienza sui nostri siti Web e sui servizi che siamo in grado di offrire.
Cookie essenziali del sito Web
Questi cookie sono strettamente necessari per fornirvi i servizi disponibili attraverso il nostro sito web e per utilizzare alcune delle sue caratteristiche.
Poiché questi cookie sono strettamente necessari per la consegna del sito web, il loro rifiuto avrà un impatto sul funzionamento del nostro sito web. È sempre possibile bloccare o cancellare i cookie modificando le impostazioni del browser e forzare il blocco di tutti i cookie su questo sito web. Ma questo vi chiederà sempre di accettare/rifiutare i cookie quando visitate il nostro sito.
Rispettiamo pienamente se si desidera rifiutare i cookie, ma per evitare di chiedervi gentilmente più e più volte di permettere di memorizzare i cookie per questo. L’utente è libero di rinunciare in qualsiasi momento o optare per altri cookie per ottenere un’esperienza migliore. Se rifiuti i cookie, rimuoveremo tutti i cookie impostati nel nostro dominio.
Vi forniamo un elenco dei cookie memorizzati sul vostro computer nel nostro dominio in modo che possiate controllare cosa abbiamo memorizzato. Per motivi di sicurezza non siamo in grado di mostrare o modificare i cookie di altri domini. Puoi controllarli nelle impostazioni di sicurezza del tuo browser.
Altri servizi esterni
Utilizziamo anche diversi servizi esterni come Google Webfonts, Google Maps e fornitori esterni di video. Poiché questi fornitori possono raccogliere dati personali come il tuo indirizzo IP, ti permettiamo di bloccarli qui. Si prega di notare che questo potrebbe ridurre notevolmente la funzionalità e l’aspetto del nostro sito. Le modifiche avranno effetto una volta ricaricata la pagina.
