L’attività di monitoraggio degli attacchi di phishing ha consentito di individuare nella prima mattina odierna un tentativo di frode volto a colpire gli utenti italiani della rete, veicolato attraverso un messaggio di posta fraudolento con il quale viene proposto da Agip un forte sconto per l’acquisto di cinquanta litri di carburante.

E’ immediatamente possibile notare come l’indirizzo mittente visualizzato sembri essere parte del dominio legittimo agip.it. L’indirizzo ip mittente indica invece come la mail sia partita da un host collegato alla rete Telecom Italia Mobile.

 

Il dominio visualizzato nel link proposto fa capo ad un dominio registrato nelle isole Samoa, nell’Oceano Pacifico, solo tre giorni fa.

Seguendo tale link il visitatore giunge a pagine fraudolente riproducenti la grafica ed i loghi di Agip/Eni

 

 

posizionate nello spazio web di un dominio tedesco registrato a febbraio 2012.

La prima pagina di “benvenuto” viene seguita dalla richiesta dei codici della carta di credito

 

 

che sono verificati lato server.
Nel caso la carta risulti essere emessa da Poste Italiane al visitatore sono richiesti anche i dati di login dell’account presso tale ente.

 

 

Apparentemente i criminali eseguono il controllo sull’account Poste e gestiscono le credenziali a seconda che il login sia stato possibile o meno, quindi che le credenziali siano valido o no.

I criminali hanno già raccolto una decina di codici di carte di credito validi.

Il centralino romano di Eni S.p.A. non è riuscito a metterci in contatto telefonico con alcun addetto alla sicurezza, la società è stata avvisata via fax.

A margine del tentativo di frode in questione risulta interessante rilevare dalla pagina di HTTrack Website Copier presente nel sito usato per l’attacco quali siano gli enti/istituti che i criminali operanti intendono colpire

 

Update: martedì 20 Novembre 2012:

nella prima mattina odierna i criminali hanno cambiato il layout della pagina clone

senza aver tuttavia l’accortezza di modificare il titolo della stessa presente nei tag meta.
L’informazione ricavata fornisce riscontro all’ipotesi che gli autori di tale attacco siano gli stessi dei recenti tentativi di frode a danno degli utenti Vodafone e Wind.

Il dominio utilizzato per l’attacco non è più disponibile.

Update 21 Gennaio 2013:

le informazioni di Eni/Agip agli utenti in relazione ai tentativi di frode.

L’impegno della coalizione militare internazionale impegnata in Afghanistan, di cui l’Italia fa parte, si è orientato verso l’obbiettivo di rendere la nazione Afghana autonoma nel far fronte alle proprie esigenze di sicurezza. Il raggiungimento di tale fine passa attraverso la formazione delle forze armate e di polizia afghane.
L’Italia  partecipa a tale impegno attraverso il dispiegamento in teatro di operazioni dei Police Advisor Team, unità costituite da personale delle nostre Forze Armate che svolgono l’azione di mentoring a favore del neonato law enforcement afghano.

D3Lab ha avuto l’onore di essere chiamata a collaborare all’addestramento dei nostri militari impegnati quali Police Advisor Team trasmettendo le proprie competenze in materia di repertamento delle evidence digitali con lezioni tenute presso il Reggimento Addestrativo Aosta del Centro di Addestramento Alpino dell’Esercito (ex Scuola Militare Alpina) di Aosta.

Onorati del compito assegnatoci!

Durante le notte odierna si è verificato un nuovo tentativo di infettare i computer degli utenti italiani della rete Internet attraverso l’invio di messaggi di posta recanti all’interno del corpo un link ipertestuale per il download di malware camuffato da documento pdf.

Il messaggio avente soggetto “Rimesse Doc!” o “Fwd: Rimesse Doc!” o ancora “Fwd: Rimesse” cerca di ingannare il ricevente facendo riferimento ad una presunta fattura

Ciao,
Si prega di confermare il 20% tt pagamento anticipato.
nei confronti della fattura proforma PO81955/2012
http://dominioviolato.it/Operazione.zip
Aspetto la tua risposta

Cordiali saluti 

Al momento sono stati individuati otto differenti siti dai quali può essere scaricato il file Operazione.it, sette dei quali italiani ed uno austriaco.

 

Il file zip, che Virus Total rileva come malevolo (16/44), contiene un file eseguibile con nome composto da 76 caratteri a cui fa seguito il punto (77°) ed i tre caratteri dell’estensione exe

Operazione.Pdf______________________________________________________________.exe

Sia Windows XP che 7 riconoscono correttamente la falsa estensione pdf seguita dai caratteri underscore.

BullGuard anti-virus identifica immediatamente la minaccia.

Per il riconoscimento da parte degli altri anti-virus si può fare riferimento al report di Virus Total per il file .exe (17/43).

L’esame degli headers degli otto diversi messaggi di posta ricevuti evidenzia come tutti siano partiti dal medesimo server statunitense.

 

E’ di queste ore l’attacco di social engineering finalizzato a colpire i cittadini di diversi paesi con la falsa contestazione di violazioni correlabili ai reati informatici da parte delle forze dell’ordine, inducendoli a pagare on-line l’importo di una sanzione variabile tra 100 Euro ed i 200 $.

Su un server irlandese della OVH Hosting Limited sono state inserite pagine web fraudolente che, in base l’indirizzo ip del visitatore, propongono una pagina con l’intimazione/contestazione tradotta nella lingua del paese da cui è originata la navigazione, abbinando i loghi ed i nomi delle locali forze di polizia, nonché un box per il pagamento attraverso diversi sistemi di moneta elettronica, quali uKash, PaySafe, MoneyPack, ecc…

 

Nel caso l’utente inserisca un codice uKash valido, per provare è sufficiente cercare in Google immagini “codice uKash”, la pagina si oscura e un banner invita l’utente ad attendere, con il computer acceso, per un ora l’elaborazione del pagamento della sanzione.

La modalità di pagamento della sanzione limiterà forzatamente gli introiti che i criminali raccoglieranno, un diverso sistema di pagamento, maggiormente diffuso, avrebbe forse potuto dar loro maggiori vantaggi, ma probabilmente avrebbe di contro permesso una maggior tracciabilità delle transazioni.
E’ presumibile che molti cittadini italiani, non conoscendo i sistemi di pagamento proposto e intimiditi dal tenore della comunicazione, telefoneranno ai centralini della Polizia di Stato per avere delucidazioni sulla contestazione e sulle modalità di pagamento, vanificando in tal modo l’aggressione.

Al momento non siamo in possesso del messaggio di posta elettronica fraudolento, ma del solo url di attacco, corrispondente a:

http://jmjmjnphih.trunksite.info/get.php?id=10

Il dominio trunksite.info è stato presumibilmente registrato ad-hoc per la realizzazione della frode

Domain ID:D48056054-LRMS
Domain Name:TRUNKSITE.INFO
Created On:11-Oct-2012 20:01:58 UTC
Last Updated On:11-Oct-2012 20:01:58 UTC
Expiration Date:11-Oct-2013 20:01:58 UTC
Sponsoring Registrar:DomainContext Inc. (R524-LRMS)
Status:CLIENT TRANSFER PROHIBITED
Status:TRANSFER PROHIBITED
Status:ADDPERIOD
Registrant ID:PP-SP-001
Registrant Name:Domain Admin
Registrant Organization:PrivacyProtect.org
Registrant Street1:ID#10760, PO Box 16
Registrant Street2:Note - All Postal Mails Rejected, visit Privacyprotect.org
Registrant Street3:
Registrant City:Nobby Beach
Registrant State/Province:
Registrant Postal Code:QLD 4218
Registrant Country:AU
Registrant Phone:+45.36946676
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:[email protected]

All’indirizzo ip 37.59.109.241 non risulta far capo nessun altro dominio. La risposta del server fornisce qualche informazione in più

HTTP/1.1 200 OK
Date: Mon, 15 Oct 2012 21:44:58 GMT
Server: Apache/2.2.15 (CentOS)
X-Powered-By: PHP/5.3.3
Content-Length: 9119
Connection: close
Content-Type: text/html


confermando, grazie al time stamp, la collocazione del server in Irlanda.
DirBuster non fornisce invece risultati di rilievo

L’esistenza delle pagine allestite per “rispondere” a visitatori provenienti dai diversi paesi è stata rilevata quando, acquisendo la pagina con HashBot, ci si è trovati davanti al codice sorgente facente riferimento all’Interpol

A seguito di ciò è bastato visitare l’url attraverso tor ed altri proxy per rilevare il trucco.

Apparentemente si è di fronte ad una variante della frode portata a mezzo malware che ancora imperversa in rete, con messaggi di posta fraudolenti finalizzati ad indurre i destinatari a scaricare ed eseguire file, con il solo risultato di infettare i propri sistemi con virus “rapitori”, che sequestrano i sistemi, asserendo di sbloccarli a seguito del pagamento della sanzione, come nel caso della Polizia Portoghese citato nelle scorse settimane.

L’attività di monitoraggio ha permesso di individuare il tentativo di diffusione di malware, presumibilmente mirato ad infettare i computer dei cittadini portoghesi, attraverso un messaggio di posta elettronica falsamente inviato dalla polizia portoghese allo scopo di convocare il destinatario.

La tipologia di attacco non è nuova essendosi già presentati casi del genere lo scorso gennaio, come riportato sul sito web delle autorità di Lisbona.

L’attacco rilevato in data odierna conduce il destinatario della mail su pagine web inserite in un sito canadese. In esse uno script si occupa di creare sub directory dai nomi casuali nelle quali copiare la pagina riportante il logo della polizia, sulle quali redirige l’utente, e l’eseguibile ad esso collegato via link.

L’analisi dell’eseguibile effettuata da VirusTotal (report) non lascia dubbi sulla natura malevola del file.

Sul sito sono inoltre presenti pagine php per l’invio massivo di mail e shell remote e script per l’individuazione delle credenziali cPanel ed FTP.