Articoli

In un recente caso di Phishing ai danni di Poste Italiane abbiamo potuto analizzare il Kit sfruttato dal Phisher per simulare il portale autentico di poste Italiane, solitamente le credenziali delle vittime vengono inviate al truffatore tramite eMail oppure salvate localmente in un file binario.

Questo Kit in analisi permette di inviare le credenziali anche tramite IRC, in un network ed un canale specifico. Il Phisher collegato alla rete IRC potrà quindi vedere in tempo reale le credenziali (username, password, telefono, carta di credito, ecc) digitate dalla vittima.

Nello screenshot iniziale potete notare una simulazione che abbiamo eseguito sfruttando il kit, uno script PHP ha il compito di collegarsi al canale specificato (#testtest nel nostro esempio) e andrà a riportare le credenziali delle vittime. Il bot IRC è inoltre in grado di rispondere a dei comandi prestabili tra essi è indubbiamente rilevante il comando manda che ha il compito di stampare a monitor tutte le credenziali carpite. Infine il comando Salir termina l’esecuzione dello script PHP ed esce dalla Chat.

 

L’attività di Brand Monitor svolta da D3Lab fornisce informazioni utili a monitorare diverse tipologia di minacce, dallo spear-phishing, alla diffusione di malware e phishing tradizionale.

Operando in tale ambito è facile accorgersi come alcune società siano più colpite dal fenomeno della creazione di domini ad-hoc a scopo illecito, non sempre assimilabili al typosquatting, in quanto non creati con l’alterazione di nomi o parole, bensì con concatenazione di termini corretti, nomi di directory, file ed anche servizi.

Poste Italiane sembra essere, in base ai rilievi D3Lab, una delle società più colpite da tale fenomeno:

domini creati con nomi ad Hoc inerenti Poste Italiane

con la creazione di oltre 70 domini con nomi ad essa riconducibili in nemmeno due mesi (rilievi 01/02/17-23/03/17).

Non sempre però, si tratta di pagine che cercano di acquisire direttamente credenziali personali, numeri di carta di credito o altri dati sensibili, come nel caso del dominio poste-postpay.net dalle cui pagine veniva proposta l’installazione di una applicazione Android Poste Italiane, in realtà un malware Android Trojan.

Il dominio creato a supporto della distribuzione del malware è stato individuato attraverso l’analisi di reverse whois su precedente sito di phishing a danno di Poste Italiane.
La tecnica usata consiste nell’individuare il nominativo o la mail di chi ha registrato il sito di phishing ed effettuare poi una ricerca sul db dei whois per evidenziare se la stessa persona ha registrato altri siti simili.

Sovente l’attività di intelligence che si sviluppa dall’esame di più casi di phishing correlabili ad un singolo gruppo criminale evidenzia l’interesse dei criminali nei confronti di più enti target, talvolta di paesi diversi tra l’altro anche nomi di dominio creati per phishing ai danni di ente francese, registrati sempre dalla stesa persona.
Il layout del falso sito PosteIT, come si vede dagli  screenshots, era ottimizzato per dispositivi mobili, e dopo una prima schermata di falso login

propone il download di una ‘Banco Poste Security Module App’

e di seguito le istruzioni per l’installazione sul dispositivo mobile.


Il file scaricato  risultava ad una analisi di VirusTotal chiaramente come un malware

 

Da notare anche come l’applicazione apk che viene installata abbia tra le sue caratteristiche la possibilità di acquisire permessi di scrittura e lettura di SMS, effettuare chiamate telefoniche, ecc…..


cosa che denota le caratteristiche malevole del file PostePay.apk

In questo screenshot vediamo la fase di attivazione del programma, dove si nota la presenza del logo Postepay.


Come sempre in questi casi vale la regola di evitare di installare software di cui non sia certa la fonte, verificando con attenzione sia l’indirizzo del sito utilizzato, ma anche il file scaricato ad esempio attraverso siti di scansione malware online come Virus Total.

Il nostro servizio di Brand Monitor permette di monitorare la registrazione di nuovi domini internet a tutela di un marchio individuando tempestivamente utilizzi inopportuni del brand del cliente. È sempre più frequente rilevare criminali informatici che registrano nuovi domini molto similari agli originali per confondere l’utente e trarlo in inganno, i domini vengono spesso usati per diffondere Malware, Phishing Bancario (es. Bonus 500euro, SMS Poste Italiane, PayPal, ecc), Man in The Mail (es. Ubiquiti stung US$46.7 million in e-mail spoofing fraud) o destabilizzare l’asseto azionario come successe a Intesa San Paolo con la registrazione di un dominio ad-hoc e la relativa pubblicazione di un falso comunicato dell’AD Carlo Messina.

Nel corso dell’ultima settimana abbiamo rilevato la registrazione di un elevato numero di domini con TLD .xyz sfruttati per attuare una campagna di Phishing ai danni dei titolari di carte di credito emesse da Lottomatica, ovvero la Lottomaticard e la carta di credito prepagata PayPal che ricordiamo essere emessa da Lottomatica e Banca Sella per il nostro paese.

I domini registrati tra l’8 Febbraio e il 12 sono in totale 55:

cartalislottomaticard.xyz
cartalislottomaticard0.xyz
cartalislottomaticard1.xyz
cartalislottomaticard2.xyz
cartalislottomaticard3.xyz
cartalislottomaticard4.xyz
cartalislottomaticard5.xyz
cartalislottomaticard6.xyz
cartalislottomaticard7.xyz
cartalislottomaticard8.xyz
cartalislottomaticard9.xyz
cartalisprepagat.xyz
cartalisprepagata1.xyz
cartalisprepagata2.xyz
cartalisprepagata3.xyz
cartalisprepagata4.xyz
cartalisprepagata6.xyz
cartalisprepagata7.xyz
cartalisprepagata8.xyz
cartalisprepagata9.xyz
cartalisprepagata12.xyz
cartalisprepagata13.xyz
cartalisprepagata14.xyz
cartalisprepagata15.xyz
cartalisprepagata16.xyz
cartalisprepagata17.xyz
cartalisprepagata19.xyz
cartalisprepagate.xyz
cartalisprepagate1.xyz
cartalisprepagate2.xyz
cartalisprepagate3.xyz
cartalisprepagatee.xyz
cartalisprepagati.xyz
cartalisprepagatii.xyz
lottomaticard.xyz
lottomaticard1.xyz
lottomaticard2.xyz
lottomaticard3.xyz
lottomaticard4.xyz
lottomaticard5.xyz
lottomaticard6.xyz
lottomaticard7.xyz
lottomaticard8.xyz
lottomaticard9.xyz
lottomaticard10.xyz
lottomaticard11.xyz
lottomaticard12.xyz
lottomaticard13.xyz
lottomaticard14.xyz
lottomaticard15.xyz
lottomaticard16.xyz
lottomaticard17.xyz
lottomaticard18.xyz
lottomaticard19.xyz
lottomaticard20.xyz

I phisher al fine di limitare una immediata identificazione delle pagine fraudolente hanno previsto un redirect verso il dominio otobankasi.com se si accede direttamente al dominio o al sotto-dominio www, per visualizzare le pagine di Phishing bisognerà indicare un sotto-dominio random. Questa tecnica permette anche di limitare le funzionalità delle BlackList di Phishing poichè l’url visualizzato dall’utente varierà continuamente.

Nei due screenshot precedenti vediamo un anteprima delle pagine fraudolente, in esse l’utente è invitato ad inserire le credenziali per poter accedere al pannello di controllo della propria carta e i dati relativi ad essa. Data la richiesta delle credenziali di login, e non solo i dati della carta, è probabile che il team di Phisher voglia trasferire i fondi della vittima verso un’altra prepagata emessa da CartaLIS/Lottomatica.

I domini sono stati registrati a nome di due persone Debora Cestari e Ovidiu Ioan Sara, probabilmente sono nominativi inventati o vittime di altre campagne di Phishing, i cui dati e lecui carte di credito possono essere usate per acquistare servizi utili alla struttura criminale… il phishing è anche questo, vittime inconsapevolmente  coinvolti nelle frodi.

Un altro ente fortemente colpito in Italia attraverso la creazione di domini ad-hoc è Poste Italiane, dal 1 Gennaio 2017 ad oggi abbiamo rilevato la registrazione di 107 nuovi domini sospetti, a dimostrazione di quanto la metodica sia ampiamente impiegata dai criminali e di come il suo controllo e contrasto richiesta procedure e servizi ad hoc.

Una nuova eMail di Phishing Bancario ai danni di Poste Italiane veicola l’attacco tramite una falsa promessa di estensione del Bonus di 500euro per i 18enni alle famiglie!

Il Bonus Cultura, apprendiamo su 18app, è una iniziativa a cura del Ministero dei Beni e delle Attività Culturali e del Turismo e della Presidenza del Consiglio dei Ministri dedicata a promuovere la cultura. Il programma, destinato a chi compie 18 anni nel 2016, permette loro di ottenere 500€ da spendere in cinema, concerti, eventi culturali, libri, musei, monumenti e parchi, teatro e danza. I ragazzi hanno tempo fino al 30 giugno 2017 per registrarsi al Bonus Cultura e fino al 31 dicembre 2017 per spendere il bonus.

Nella mail che vi mostriamo in apertura viene invece promesso tale bonus economico anche alle famiglie tramite Bonifico SEPA che verrà accreditato sulla carta Evolution di Poste Italiane, inoltre avvisa l’utente che i fondi possono terminare spingendolo ad affrettarsi nel completare la procedura.

Selezionando il link “Procedi” l’utente viene rediretto sul dominio ingbnl.com che visualizza al cliente un perfetto Kit di Phishing ai danni di Poste, come è possibile visualizzare nello screenshot seguente.

Il kit effettua una verifica dei dati inseriti dall’utente riportando un eventuale errore delle credenziali digitate, nel seguente screenshot simulando l’inserimento del nome utente “test.test” e password “test123456” viene riportato all’utente un errore delle credenziali inserite.

Il dominio ingbnl.com sfruttato in questa campagna di Phishing concatena le sigle di due istituti di credito Italiani ING (ING Direct) e BNL (Banca Nazionale del Lavoro) confermando l’ipotesi che sia stato creato ad-hoc per eseguire delle attività fraudolente. Da un whois apprendiamo i seguenti dati (oscuriamo volutamente il numero di cellulare):

Domain Name: INGBNL.COM
Registry Domain ID: 2087790266_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.register.it
Registrar URL: http://we.register.it
Updated Date: 2017-01-06T00:00:00Z
Creation Date: 2017-01-06T00:00:00Z
Registrar Registration Expiration Date: 2018-01-06T00:00:00Z
Registrar: REGISTER.IT S.P.A.
Registrar IANA ID: 168
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: +39.5520021555
Reseller:
Domain Status: ok
Registry Registrant ID:
Registrant Name: Michele Pitzeri
Registrant Organization: Michele Pitzeri
Registrant Street: VIA PIO LA TORRE 15
Registrant City: SAN SPERATE
Registrant State/Province: CA
Registrant Postal Code: 09026
Registrant Country: IT
Registrant Phone: +39.33175487XX
Registrant Phone Ext:
Registrant Fax: +39.33175487XX
Registrant Fax Ext:
Registrant Email: [email protected]

Tramite una operazione di OSINT sull’indirizzo eMail riportato rileviamo un profilo Facebook denominato “Ministero DelleFinanze” a conferma di una operazione debita ad effettuare frodi bancarie.

Dalle modalità operative e di struttura del Kit di Phishing ricolleghiamo questo Team a casi di Telefonia, ENI/Agip, Carrefour degli anni passati.