Articoli

Nella analisi odierna del Phishing e relativo contrasto abbiamo identificato una campagna di Phishing ai danni di Saman Bank con l’invio delle credenziali carpite tramite Telegram.

Usualmente i Phisher si inviano le informazioni carpite a mezzo eMail, tramite dei Command and Control o più raramente mediante IRC.

In questo kit di Phishing invece il Phisher sfrutta le API di Telegram per inviarsi le credenziali attraverso un Bot, abbiamo potuto analizzare il kit di phishing poiché è stato dimenticato in formato compresso sul sito web compromesso.

Nell’immagine precedente potete vedere parte del codice del kit in cui viene richiamata la funzione Telegram per poter inviare le informazioni carpite tramite le API.

Il kit conteneva anche la configurazione del BOT permettendoci di identificare il Nick del Bot e del Phisher; i messaggi vengono inviati tramite messaggi privati e non condivise in un canale o gruppo.

Di seguito trovate un esempio dei dati che vengono forniti al Phisher mediante il bot:

 

screen_2

 

Nell’attività di analisi del Phishing abbiamo rilevato l’utilizzo del server eMail di Telegram e della loro casella di Supporto per inviare Phishing ai danni degli utenti Apple.

Nelle procedure consolidate di analisi del Phishing che svolgiamo da quattro anni lo scorso 4 Ottobre verificando una eMail di Phishing ai danni degli utenti Apple abbiamo notato l’insolito mittente “[email protected]”. Insolito perché usualmente il mittente di una eMail di Phishing viene falsificato per rendere la comunicazione ancor più veritiera con l’eMail dell’ente in oggetto. In questo caso una eMail che potrebbe ingannare maggiormente l’utente sarebbe stata: [email protected]/.com. Telegram nonostante sia nella TOP 50 delle applicazioni maggiormente scaricate nell’Apple Store non ha certamente collegamenti societari con Apple.

Analizzando successivamente l’header della mail e più precisamente i nodi di rete coinvolti si nota che la mail di Phishing è stata inviata all’effettivo mail server di Telegram da una VPS britannica ed infine consegnata al destinatario. Il server eMail di Telegram “mail.telegram.org” avente IP 149.154.167.33 risulta quindi coinvolto nell’invio di Phishing.Mail Ops Telegram

Anche una ulteriore analisi attraverso un Reverse DNS ci conferma che all’IP 149.154.167.33 è associato il sotto-dominio mail.telegram.org

ping_dig_nslookup

Verificando inoltre le zone DNS del dominio telegram.org troviamo un ulteriore conferma dell’autenticità del sotto-dominio e del server sfruttato per inviare l’eMail.

dig_any

Pertanto il Server Mail e un Account Mail di Telegram è stato sfruttato per inviare Phishing!

Ma come è stato possibile? Il Phisher ha ottenuto la password dell’account [email protected] e sfruttato per inviare la posta?

No, come si può vedere dall’immagine di apertura il server SMTP non era configurato correttamente e non richiedere l’autenticazione, funzionando come un Open Mail Relay! 

Un Open Mail Relay è un server SMTP configurato in modo tale che permetta a chiunque di inviare eMail attraverso esso, questa era la configurazione di default nel passato dei principali server mail ma a seguito dell’utilizzo fraudolento da parte di spammer e phisher ad oggi viene normalmente chiesta l’autenticazione per l’invio di una eMail. Risultava quindi possibile inviare eMail attraverso la casella [email protected] a chiunque.

A conferma di tale ipotesi vediamo di seguito una scansione positiva eseguita con il noto software nmap e lo script per la verifica dell’Open Relay.

nmap_open_relay

Abbiamo provveduto ad avvisare Telegram alle 20 del 4 Ottobre, e dopo soli 30 minuti, con grande tempestività, il team di Telegram era già intervenuto riconfigurato il loro server SMTP, rispondendo alla nostra segnalazione ringraziandoci.

I Phisher hanno usato il server SMTP per inviare Phishing, ma questa errata configurazione poteva certamente essere sfruttata per inviare comunicazioni di carattere amministrativo (Man in the Mail) o uno Spear Phishing mirato ad altri dipendenti Telegram o società che collaborano strettamente con loro.