Tag Archivio per: unicredit

Campagna di Phishing ai danni di Unicredit con 14 dominii Ad Hoc

Unicredit quest’anno è vittima di una forte campagna di Phishing che si svolge puntualmente durante il Week End con l’utilizzo di dominii Ad Hoc registrati appositamente per effettuare la frode. Dominii che come vedrete successivamente sfruttano similitudini con il nome dominio originale.

Ieri, 2 Novembre 2017, abbiamo rilevato la registrazione di 17 nuovi probabili dominii sfruttabili per una nuova campagna di Phishing ai danni proprio di questo Istituto Bancario, oggi 3 Novembre 2017 la campagna di Phishing ha avuto inizio sfruttando attualmente 14 dei 17 dominii rilevati.

Le pagine di Phishing vengono nascoste in una sottodirectory dedicata, in fase di scrittura dell’articolo la directory è denominata “online-retail” ma durante l’intero week end per ovviare alle BlackList il Phisher rinomina la directory. Attraverso Archive.is abbiamo effettuato una copia di una pagina di Phishing.

I dominii attualmente sfruttati sono:

  • unicredititareaclientionline[.]info
  • sicurezzaobbligatoriounicreditdati[.]info
  • servizionlinetuounicreditdati[.]info
  • servizioinformativoteunicreditcard[.]info
  • servizieinternetunicreditdati[.]info
  • informazionieserviziunicreditline[.]info
  • unicreditgruppoprotezionetuodati[.]info
  • riabilitaretuadatiunicredit[.]info
  • unicreditgruppoprotezione[.]info
  • riabilitaretuaunicredit[.]info
  • unicreditcartaregistratuoprofilodati[.]info
  • regitradatiline[.]info
  • verificadatiline[.]email
  • verificadatiline[.]site

[AGGIORNAMENTO]

Alle 09:30 UTC del 3 Novembre abbiamo rilevato il coinvolgimento di altri 6 dominii:

  • onlinedativerifica[.]com
  • onlinecontrolladati[.]site
  • accessoservonline[.]com
  • onlinedativerifica[.]site
  • onlinecontrolladati[.]com
  • accessoservonline[.]site

 

Da Febbraio ad oggi sono stati registrati 126 dominii Ad Hoc per effettuare Phishing ai danni di Unicredit, con una distribuzione mensile rappresentata dal seguente grafico

 

L’intento dei Phisher è quello di acquisire i dati delle Carte di Credito delle vittime oppure le credenziali di accesso all’Home Banking, nell’attacco in corso viene inviata all’utente l’eMail che vedete in apertura nella quale lo si invita ad attivare un servizio gratuito per migliorare la sicurezza della carta di credito. L’utente viene poi invitato successivamente a digitare non solo i dati della propria carta ma anche dati personali quali:

  • Nominativo;
  • Codice Fiscale;
  • Data di Nascita;
  • Codice Postale.

Digitate le informazioni principali viene richiesto il codice OTP del proprio token fisico o mobile, codice che verrà richiesto cinque volte così da garantire al Phisher cinque utilizzi consecutivi della propria carta di credito.

Di seguito vi riportiamo una galleria di screenshot con le Pagine di Phishing attualmente presenti in uno dei dominii sopra citati.

 

/da

Malware distribuito tramite falsa comunicazione Fineco Bank. Probabile #SpyEye

email_fineco_malware

Nella giornata di ieri 6 Ottobre e anche oggi abbiamo rilevato la diffusione di malware attraverso una finta comunicazione della Banca Fineco (appartenente al Gruppo Bancario Unicredit).

L’eMail fa riferimento ad una probabile transazione finanziaria e chiede all’utente di prenderne visione, nonostante l’Italiano non perfetto il destinatario incuriosito nel capire quale operazione gli viene attribuita cliccando sul link “qui” nella terza riga della eMail viene reindirizzato ad un sito web il quale ha il compito di eseguire il download del file “ordine.zip.”

L’archivio contiene al suo interno un file JavaScript, esso richiamerà una PowerShell con il compito di scaricare ed eseguire un ulteriore file JavaScript. Quest’ultimo file JavaScript scaricherà un eseguibile e un ulteriore file JavaScript che verrà sfruttato come eventuale backup per il download del malware.

Differentemente da molti altri casi i file JavaScript non sono offuscati e inoltre richiede la presenza della PowerShell su Microsoft, escludendo di fatto Windows XP poichè per tale sistema operativo ormai non sopportato non era prevista l’installazione automatica del software PowerShell.

Durante la stesura di questo articolo i file JavaScipt (i downloader) vengono rilevati malevoli secondo VirusTotal come segue:

  • Primo File: codice.js > 9/54
  • Secondo File: 2j.js > 5/54
  • Terzo File: 3j.js > 5/54

Particolare la scelta di non offuscare i file, tale scelta li rende più facilmente identificabili dagli antivirus. A dimostrazione di ciò abbiamo volutamente offuscato il file 3j.js attraverso quattro servizi online gratuiti ottenendo una indentificazione in media minore.

Infatti dove il file originale 3j.js viene rilevanto da 5 Antivirus su 54 la medesima versione offuscata attraverso il servizio online Pjoneil che non ne altera il funzionamento ma solamente il contenuto porta ad una indentificazione di 2 Antivirus su 54. Con una media ccomplessiva comunque più bassa di 3,5 rilevamenti contro 5.

Il file eseguibile scansionato per l’ultima volta da Virus Total il 6 Ottobre alle 19:58 UTC veniva riconosciuto da 11 Antivirus su 56, rianalizzando durante la stesura di questo articolo il rilevamento è decisamente aumentato portandolo a 28/56.

La sola scansione su VirusTotal ci indirizza sulla possibilità che il malware NON sia della famiglia dei ransomware, ma bensì un Trojan in grado di controllare remotamente il computer della vittima potendo quindi acquisire informazioni riservate come Username, Password, Dati Personali, Documenti, Foto, ecc ecc o accedere alla WebCam del computer o visualizzare remotamente il Desktop dell’utente seguendo ogni sua singola operazione.

Il servizio di Malware Analysis offerto da  Malwr.com ci conferma nuovamente che il trojan in oggetto è in grado di:

  • Acquisire informazioni dal browser locale (cronologia, password, username, eMail, cookie, ecc);
  • Eseguire processi e injettare codice in essi;
  • Autoavviarsi all’avvio.

botnet

Inoltre ci informa che genera traffico di rete verso due domini constitution.org e ofenesuspendedcermock.pw, dal primo sito viene estratto il file TXT della Dichiarazione di Indipendenza degli Stati Uniti d’America (http://constitution.org/usdeclar.txt). Questa azione è probabilmente utile al malware per sfruttare l’algoritmo di generazione dei domini (DGA) acquisendo parti del testo della dichiarazione, il dominio servirà per richiamare il server di C&C sfruttato dal BootMaster. È una procedura ormai consolidata quella di generare domini randomici e cambiarli periodicamente per garantire la robustezza dell’intera infrastruttura. Il malware ongi X periodo richiamerà un dominio diverso, così se il precedente viene sospeso perchè ritenuto illecito il Bootmaster non perderà il controllo dei suoi malware. Per chi volesse approfondire questo argomento troverà utile la tesi di Laurea di Stefano Schiavoni con il relatore Stefano Zanero, disponibile su Politesi.

A conferma dell’analisi di Malwr abbiamo provveduto a disassemblare il malware, riconducendo parte del codice al Trojan Spyeye confrontando il codice pubblicato su GitHub.  Spyeye è un malware noto poichè progettato per carpire le informazioni dei conti correnti bancari, sviluppato dal 24enne Alksandr Panin di origine Russa che vendeva il malware a terzi per una cifra compresa tra i mille e gli ottomila dollari in base a quanto riportato Wired Italia. Il caso più eclatante compiuto attraverso questo malware è certamente legato alla sottrazione di 3 milioni di dollari.

Questo slideshow richiede JavaScript.

SpyEye, come afferma Krebsonsecurity, è in grado di iniettare codice nei principali Browser Internet come Firefox, Opera e Chrome al fine di sostituire i form dei siti internet bancari e catturare in tempo reale le credenziali inserite. Ottenendo in tempo reale non solo username e password ma eventuali codici OTP utili per eseguire bonifici  o ricariche. È in grado anche di eliminare i Cookie ad ogni avvio costringendo l’utente ad effettuare un nuovo login, e quindi a ridigitare le proprie credenziali, all’apertura del browser.

 

/da