Articoli

Hetzner is a very important web service provider in Europe, the first week of February 2018 we detected a Phishing attack to fraud their users.

Users were invited to confirm their access credentials to the “konsoleH” portal, a portal used to access webmail or managing Internet domains.

Once the credentials (eMail and password) were entered, the victim was asked for their personal data in addition to the credit card details.

In the last period Phishing attacks against Web Providers (OVH, Register, Serverplan, Keliweb, etc.) are definitely growing rapidly.

We always invite users to pay maximum attention. We conclude with a gallery of screenshots of phishing pages.

 

Register.it, parte di Dada Company, è un noto provider Italiano che offre dal 1999 i suo servizi nel mercato Italiano. Come abbiamo già avuto modo di mostrare nei precedenti articoli stiamo rilevando, dall’ultimo trimestre del 2017, un notevole incremento di attività di Phishing ai danni di Web provider Europei.

Tutte le attività di Phishing si accomunano nella richiesta di credenziali (username, email e password) per ottenere l’accesso ai pannelli di amministrazione dei dominii web o alle webmail ed infine alla regolarizzazione di un falso problema di fatturazione tramite l’inserimento dei dati della propria carta di credito.

Register.it, come potete vedere nel grafico seguente, ha subito attacchi di Phishing di modesta entità nel 2015 e 2017 ma nei primi 45 giorni del 2018 abbiamo già rilevato otto segnalazioni, un trend decisamente in crescita che potrebbe vedere il 2018 concludersi con oltre sessanta attacchi.

 

Di seguito trovate una galleria di screenshot di un kit di Phishing sfruttato ai danni di Register, come anticipato inizialmente alla vittima viene richiesto di regolarizzare un problema di fatturazione tramite l’inserimento dei dati della propria carta di credito. Successivamente il phisher richiedere per ben due volte il codice OTP della vittima, ovvero il codice che l’utente riceve tramite SMS o visualizza nel proprio token fisico. Questo codice permette ai malviventi di eseguire addebiti sulla carta di credito della vittima.

Serverlplan_Phishing.png

 

Sempre più spesso rileviamo campagne di Phishing ai danni di provider Italiani, lo scorso Marzo vi riportavamo un attacco mirato a 4 provider Italiani. Recentemente abbiamo rilevato una nuova campagna fraudolenta ai danni di Serverplan, altro noto provider Italiano partner di cPanel & WHM per l’erogazione dei servizi in Hosting.

I Phisher hanno per l’appunto clonato la pagina di login della WebMail di cPanel, nonostante non siano presenti loghi o marchi di Serverplan nella pagina di Phishing si desume che l’attacco è rivolto ai loro clienti dall’url che incorpora la sottocartella denominata “serverplan” ed inoltre testando l’inserimento di credenziali il form richiama tramite chiamata POST il file “lanciola.php” che, dopo aver ricevuto e gestito le credenziali, effettua un redirect al sito https://www.serverplan.com.

Di seguito un estratto del comando curl sullo script PHP che ha il compito di ricevere le credenziali e reindirizzare la vittima sul sito ufficiale

$ curl -Iv http://watchmanreports[.]com/serverplan/lanciola.php
* Hostname was NOT found in DNS cache
* Trying 184.154.216.242…
* Connected to watchmanreports[.]com (184.154.216.242) port 80 (#0)
> HEAD /serverplan/lanciola.php HTTP/1.1
> User-Agent: curl/7.35.0
> Host: watchmanreports[.]com
> Accept: */*
>
< HTTP/1.1 302 Moved Temporarily
HTTP/1.1 302 Moved Temporarily
* Server nginx is not blacklisted
< Server: nginx
Server: nginx
< Date: Wed, 12 Jul 2017 09:54:12 GMT
Date: Wed, 12 Jul 2017 09:54:12 GMT
< Content-Type: text/html
Content-Type: text/html
< Content-Length: 0
Content-Length: 0
< Connection: keep-alive
Connection: keep-alive
< X-Powered-By: PHP/5.4.45
X-Powered-By: PHP/5.4.45
< Location: https://www.serverplan.com
Location: https://www.serverplan.com
< X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; mode=block
< X-Content-Type-Options: nosniff
X-Content-Type-Options: nosniff
< X-Nginx-Cache-Status: MISS
X-Nginx-Cache-Status: MISS

<
* Connection #0 to host watchmanreports[.]com left intact

Acquisite le credenziali delle caselle eMail i Phisher oltre ad accedere ad eventuali dati sensibili contenuti nella casella di posta elettronica, possono estrapolare nuovi contatti ed inviare messaggi fraudolenti.

Invitiamo gli utenti alla massima attenzione.

In data odierna abbiamo identificato molteplici attacchi di Phishing ai danni di diversi Provider Italiani ed Europei, sono infatti coinvolti:

L’intento dei Phisher è diversificato in base al provider coinvolto, in alcuni casi l’obiettivo è quello di carpire esclusivamente le credenziali di accesso all’account in altri invece l’utente viene invitato a normalizzare un pagamento non riuscito carpendo i dati della carta di credito della vittima.

Gli attaccanti tramite l’acquisizione delle sole credenziali di accesso agli account puntano ad acquisire il controllo delle caselle eMail, Domini o Server associati all’account, ottenendo quindi nuovi destinatari utili per diffondere le eMail di Phishing, caselle eMail nuove da cui inviare campagne di Phishing e spazi web su cui ospitare i Kit di Phishing. Senza trascurare l’eventuale accesso a informazioni sensibili contenute nelle caselle eMail o in spazi riservati dei domini/server.

Il phishing viene diffuso attraverso email con link che portano a pagine web realizzate con codifica base64, questa tecnica permette ai criminali di rendere più complessa l’identificazione degli indirizzi web coinvolti e di poter personalizzare l’URL mostrato nella barra dell’indirizzo del browser con il testo che si preferisce ingannando maggiormente la vittima.

 

Il precedente screenshot ci illustra graficamente questa tecnica, come vediamo il Browser interpreterà correttamente il codice codificato in base64 mostrando all’utente l’indirizzo “data:text/html;http://fastweb.it/cp/ps/Main/login/Authenticate”. Fatta eccezzione della parte iniziale “data:text/html;” l’utente visualizzerà l’indirizzo autentico di Fastweb ignorando che successivamente è presente una stringa in base64 utile al Browser a visualizzare la pagina di Phishing.

Il medesimo server oltre ad ospitare Phishing ai danni dei Provider citati contiene anche cloni dei siti FreeMobile, Swisscom, Orage, Oney, Wester Union, Ameli, Bouygues e SFR.

Vi lasciamo con una galleria fotografica dei diversi cloni coinvolti in questo attacco.

L’individuazione dei diversi cloni è avvenuta partendo dall’analisi del phishing Aruba segnalato sui social network (tweet) da Paolo Dal Checco, noto analista forense.

Tweet di Paolo Dal Checco

 

Integrazione 16/03/2017 ore 17:01

In data odierna, a seguito dell’articolo sopra riportato, abbiamo ricevuto richiesta via mail da parte di Keliweb S.R.L., di comprovare che effettivamente era stato fatto uso dei loro loghi e marchi in azioni criminali, in alternativa eravamo invitati a rimuovere dal post quanto riguardava la società.

Si reputa necessario quindi integrare al meglio l’informazioni: i post pubblicati hanno sempre e solo la finalità di informare l’utenza del web sulle nuove metodiche criminali e sui nuovi target scelti dagli stessi. Sino ad ora mai nessuna società o istituto bancario citato nei post ha contestato l’informazione prodotta e D3Lab ha sempre garantito la massima trasparenza nel fornire alle società, se richiesto, le informazioni utili affinché queste potessero intervenire a contrasto della frode.

Come sopra scritto l’analisi della campagna di phishing si è sviluppata partendo da un tweet di Paolo Dal Checco, noto esperto di informatica forense, curatore tra l’altro di uno dei blog più ricchi di informazioni riguardo alla minaccia ransomware. Competenza e serietà del Dal Checco ci hanno portato a ritenere l’informazionetrasmessa con il tweet serie ed attendibile. Abbiamo successivamente comprovato l’esistenza del clone visitando gli url segnalati, il primo su ipixline[dot]fr avente funizone di redict rappresentava presumibilmente il link presente nella mail di attacco, il secondo, su dedibox[dot]fr, il clone.

Nello svolgimento delle attività di monitoraggio e contrasto del phishing non è affatto raro che l’azione di identificazione di un url malevolo avvenga senza avere in mano la mail di attacco, come in questo caso.

Ricercando informazioni in relazione agli host coinvolti si rilevava su VirusTotal che il server con ip 51.15.13.125 assegnato all’host sd-123370.dedibox.fr era già stato impiegato per phishing a danno di ISP a fine febbraio.

virus total ip analisys

In comune con la campagna discussa in questo post vi era sia il target, un ISP, sia l’uso del file snd.php.

Si è proceduto ricercando path relativi agli ISP già colpiti da phishing individuando diversi clone a danno di diversi provider.

url malevoli rilevati

Venendo nello specifico alla pagina clone riproducente la grafica di Keliweb.it, presenti all’url sd-123370.dedibox[dot]fr/keliweb/snd.php, è sufficiente l’uso di curl per visualizzare il sorgente reale della pagina, senza che il browser lo interpreti.

sorgente pagina al terminale

Si può notare come il codice html della pagina codificato in base 64 sia inserito nel tag meta, con i vantaggi per i criminali citati sopra.

Il medesimo risultato può essere osservato facendo uso del tool Hashbot, pensato proprio per l’acquisizione forense delle risorse web.

acquisizione con hashbot

 

hashbot check code

 

Decodificando il codice base64 così acquisito si ottiene il codice html della pagina clone

codice pagina clone deoffuscato

 

da cui si può osservare come i criminali non si siano nemmeno preoccupati di fare una copia di tutte le risorse web (immagini, js, css) impiegate dalla pagina web del provider, ma abbiano linkato direttamente quelle presenti sul sito legittimo della società colpita.

Sniffando il traffico con Wireshark osserviamo il tutto con maggior dettaglio.

dettaglio con Wireshark della richiesta pagina

 

ed ancora.

dettaglio con Wireshark della richiesta pagina

Dovrebbe a questo punto risultare certa la presenza on-line della pagina con grafica, loghi e marchi Keliweb.it realizzata dai criminali.

Le informazioni riportate in questa integrazione sono state inviate a Keliweb via posta elettronica (normale e certificata). D3Lab resta ovviamente a disposizione della società per ulteriori chiarimenti e si augura che l’url della pagina malevola, ora a loro noto, possa consentirgli di intervenire presso l’hoster per ottenere la messa off-line della stessa.