Le solite cose ….
settembre 1st, 2010
Le solite cose.
Vecchie vulnerabilità che tornano e vecchi dominio compromessi che vengono riutilizzati.
Breve carrellata:
Attacco a CartaSi:
Edgar ha trattato l’altro ieri (30-08-2010) questo caso con l’articolo “Hacking e Phishing. Due attivita’ in rete spesso collegate. (30 agosto)” evidenziando il connubio tra hacking e phishing.
Devo ammetter che sino ad ora non ho mai rilevato l’utilizzo dei server compromessi per fini diversi dall’hacking ed il phishing, non ho mai individuato repositori di materiale pedopornografico, malware ecc..
Al contrario di Edgar, il quale occupandosi in modo specifico ed attento anche della diffusione del malware ha più volte accertato l’utilizzo dei server violati quali “magazzini” di “prodotti pericolosi”. Continue reading this entry »
Valentina ama WordPress
agosto 27th, 2010
Peccato che non sia una storia romantica.
Si tratta di compromissione ….. ma non di compromissione di rapporti sentimentali, un intreccio di passione, sentimenti ed erotismo…
..si tratta tristemente della compromissione di un server di The Planet (theplanet.com) che risponde all’indirizzo ip 74.54.76.69.
Il data base di Anti-Phishing Italia, nel pomeriggio di ieri (26 agosto 2010) ha presentato due segnalazioni relative ad attacchi contro i clienti di Poste Italiane:
n°: 3911
data: 2010/08/26
ente: Poste Italiene
url: http://jtty.com/aaabefiy
n°: 3913
data: 2010/08/26
ante: Poste Italiene
url: http:///tasadkkwe?gdf
I siti di destinazione dello short url sono cambiati in entrambi i casi nel giro di poche ore.jtty.com
per la segnalazione n° 3911 si è passati
da http://allcarfinance.com/wp-admin/css/myposte/index.php?MfcISAPICommand=SignInFPP&UsingSSL=1&email=&userid=
a http://commercialtanningbeds.org/wp-admin/css/myposte/index.php?MfcISAPICommand=SignInFPP&UsingSSL=1&email=&userid=
mentre per la segnalazione n°3913 si è passati
da http://asbestoscancerhelp.com/wp-admin/css/myposte/index.php?MfcISAPICommand=SignInFPP&UsingSSL=1&email=&userid=
a http://vet-petinsurance.net/wp-admin/css/myposte/index.php?MfcISAPICommand=SignInFPP&UsingSSL=1&email=&userid=
Già con l’url di destinazione di entrambe le segnalazioni si erano rilavati quegli elementi comuni con il precedente caso, quali l’utilizzo di WordPress compromessi su un unico host, che lasciavano presagire la stessa mano e quasi sicuramente la stessa metodica. Continue reading this entry »
Periodo di bassa, vecchie vulnerabiltà e qualche problema
agosto 25th, 2010
Il mese di agosto si sta dimostrando un periodo a bassa intensità di attacchi di phishing, rilevabile sia dal basso numero di mail che si ricevono, sia dal limitato numero di segnalazioni nei db di Anti-Phishing Italia.
Non ho scritto molto perchè non si sono rilevate modalità di attacco che offrissero particolari spunti di riflessione o tecniche operative di particolare interesse.
Ciononostante insiem ad Edgar abbiamo fatto alcuni rilievi:
1- dopo alcuni mesi nei quali i siti clone poggiavano prevalentemente su piattaforme Joomla e Wordpress violate, in particolare per Poste Italiane, i cattivi sono ora tornati inserire le proprie pagine in piattaforme:
1a- ZenCart violate, in particolare per le Bancahe di Credito Cooperativo, dove in tali siti vengono inserite le pagine php che gestiscono i dati inviati dai form che gli utenti trovano allegati alle mail;
2a- ZeroBoard (altra piattaforma per commercio elettronico) violate, in particolare per Poste Italiane. Tale piattaforma è stata molto sfruttata nei mesi passati da chi attacca i clienti delle Poste nostrane, attraverso un exploit (nemmeno recente) è possibile avere una shell remota sul sito, attraverso la quale svolgere tutte le operazioni di gestione;
2- si assiste all’utilizzo di nuovi servizi web. Gli aggressori di Poste Italiane, dopo aver sfruttato e starlo facendo tutt’ora, i vari servizi di registrazione domini con estensioni nazionali esotiche (.mn, .tp, ecc…), mostrano interesse anche per i servizi di free hosting, vedasi la segnalazione n.3901 nel db di Anti-Phishing Italia, con sito clone (forsalethroughintern.zxq.net) ospitato su zymic.com, o l’ultima 3907 con syto clone (onlyauctionsforsale.99k.org) ospitato dal medesimo ISP;
3- l’R-Team, il gruppo che opera attraverso redirect, è impegnato nella ricerca di siti sfruttabili per periodi decenti, di qualche giorno almeno, e non trovandoli è costretto a ricorrere all’hosting di Yahoo. Dopo aver potuto fruire per parecchi giorni della piattaforma Innovastudio presente in drjamesvitale.com, per inserirvi i propri redirect, hanno dovuto abbandonarla quando finalmente i gestori del sito sono intervenuti. Nei giorni scorsi c’è stata una veloce migrazione su gschamber.com, dr-ravid.co.il (già sfruttato diversi mesi fa) e goodteacher.co.il per ospitare i redirect, mentre i siti clone sono passati, in soli tre giorni, da sandiegokidspartyrentals.com, a theescortdirectories.com, a skvo.com.ua, a hymerspaces.com (Yahoo), a brianoneal.org, a fujansusoi.com (Yahoo), all’attuale davikjums.com (Yhaoo).
In una visione globale, dall’inizio dell’anno ad oggi non è che vi siano stati mutamenti di rilievo nell’operato dei team di aggressori tali da mettere in crisi l’analisi delle loro metodiche…sorprende quindi che il contrasto sia così… come dire….poco efficace?
Perchè Carta Si vuole possedere la mia mail box ??
agosto 21st, 2010
Com’è facile intuire si tratta dell’ennesimo caso di phishing, l’ente Carta Si non ha nulla a che vedere con ciò.
Facciamo per l’ennesima volta riferimento al data base di segnalazioni di Anti-Phishing Italia:
L’ip corrisponde ad un dominio polacco. Il sito poggia sulla piattaforma per il commercio elettronico Zen Cart che è afflitta da una vulenabilità che consente l’injection di shell remote.
Presumibilmente attraverso tale metodica gli attaccanti avranno avuto accesso alla gestione dello spazio sul server, uploadando il proprio codice. Continue reading this entry »
Valentina Vs Poste Italiane
agosto 18th, 2010
Da alcuni giorni un team di phisher, apparentemente diverso da quello che opera dall’hosting di Yahoo, sta portando avanti un attacco a danno dei clienti di Poste Italiane operando da piattaforme WordPress compromesse.
Nello specifico si può far riferimento a due record del data-base di segnalazioni di Anti-Phishing Italia:
Gli short url sono attivi da diversi giorni (five minutes to shut down 
) e la destinazione finale viene periodicamente modificata dai cattivi puntando ad un nuovo sito compromesso, sfuggendo in tal modo ai meccanismi di black listing.
Ma proviamo a fare un resoconto limitato dal basso numero di controlli da me effettuati: Continue reading this entry »
Piccoli cambiamenti nell’operato dei falsi “postini”
agosto 17th, 2010
Prendendo in considerazione, in data odierna (17/08/2010), la segnalazione del data-base di Anti Phishing Italia
si rileva che lo short url porta al file php di redirect
http://heheokaoka.com/bmmbmm/coc.php
contenente ad un altro short url che conduce alla pagina
http://poste.it.postepay.bonus.it.mn/?formsLOGIN.aspx?TYPE=33554433&REALMOID=06-695104d5-ea5e-11d7-b948-0004ac93
avente sorgente dell’ iframe in
http://heheokaoka.com/coco/?fsdgd?/?formsLOGIN.aspx?TYPE=33554433&REALMOID=06-695104d5-ea5e-11d7-b948-0004ac93
il medesimo server su cui risiede il redirect e su cui possiamo individuarne altri due costituiti da file html, uno dei quali porta nel medesimo clone, mentre l’altro su un dominio registrato su mediadots.com ed ora sospeso. Continue reading this entry »
Linux Brothers
agosto 15th, 2010
Colgo l’occasione per segnalare la nascita Linux Brothers, un nuovo sito incentrato attorno a GNU Linux ed alle tematiche dell’open sorce.
Il progetto è la naturale evoluzione del gruppo Informaticamente Informati, entrambi partoriti da Guido Menna, collega ed amico animato dal desiderio di diffondere l’utilizzo del nostro sistema operativo preferito, divulgando quanto più possibile in modo che un numero sempre maggiore di utenti del mezzo informatico si avvicini ad esso!
Un sito può crescere se viene usato, letto, commentato, se trova utenti volenterosi magari disposti a collaborare ad esso.
Trasformiamo Linux Brothers in una risorsa utile e valida 
Auguri Guido!!
Reaction
agosto 14th, 2010
Le righe di log qui visibili sono le prime 114 del file access.log scaricato dal sito karotistul.com alle ore 09:24 (CEST) del 14 agosto 2010.
Su karotistul.com sono ritornato ieri prestando attenzione ad uno dei tanti short url presenti nel data base di Anti Phishing Italia, relativi agli attacchi ai clienti di Poste Italiane.
Sfortunatamente la prima entry del log è troppo recente [13/Aug/2010:17:08:33 -0700] rispetto alla data di creazione dei file visibili in alcuni delle directory individuabili dal log stesso
Questo non rappresenta in realtà un problema. Continue reading this entry »
Out of order?
agosto 12th, 2010
h. 07:06 CEST
h 07:53 CEST
nuovamente on-line
Wind non scappa
agosto 11th, 2010
Questa mattina scorrevo il data-base di Anti-Phishing Italia, tornato in ordine dopo “l’inquinamento” dei giorni scorsi.
Il periodo di ferie è tale per tutti ed anche i cattivi hanno tirato un po’ i remi in barca, infatti il numero di nuovi record giornalieri è sensibilmente calato.
Nell’esame mattutino, come dicevo, la mia attenzione è stata attratta da un record riportante informazioni relative ad un attacco nei confronti dei clienti Wind:
data: 2010/08/10;
ente: wind;
Url: http://ricaricawind.windshop.it.tzo.net/WindShop_file/WindShop.htm
