Aggiornamenti su Sparkasse e BPER
gennaio 26th, 2012
Chi volesse aggiornamenti sugli attacca odierni a Cassa di Risparmio di Bolzano e Banca Popolare dell’Emilia Romagna può leggerli dal blog di Edgar nel post odierno: “Phishing ai danni di banche IT a diffusione regionale: Banca Popolare dell’Emilia Romagna , C.R. Bolzano, Banca Valsabbina (26 gennaio)“.
Cambio di rotta, la bussola torna a puntare a nord est (Sparkasse)
gennaio 25th, 2012
Nella mattinata odierna si è avuto un attacco di phishing a Banca Valsabbina.
La mail di attacco era già stata individuata ieri sera poco prima la mezzanotte (special thank’s allo spacciatore abituale e ad Edgar).
Il monitoraggio svolto con Fraud Page Traker ha mostrato come in poche ore
l’istituto bresciano sia riuscito a far oscurare 3 domini, ospitanti 5 differenti cloni due dei quali su Altervista celermente intervenuta.
Alle 11.00 odierne il file di redirect non esisteva più, così come il clone. Se consideriamo che il momento di maggior rischio per gli utenti è nell’orario lavorativo, lo dimostra la quasi totale assenza di attacchi durante il week-end, si può osservare come in sole tre ore (08:00-11:00) i phisher abbiano avuto poche possibilità.
Possiamo notare sia dalla mail che dall’immagine soprastante, come il redirect fosse posizionato in un sito di una società britannica individuato dal solo indirizzo ip 213.xxx.yyy.120. tristemente l’esplorazione dei molti folder esplorabili consentiva di individuare un back-up del data base mysql da oltre 130 MB, contenente le credenziali, nonchè una quantità enorme di indirizzi mail, senza contare la moltitudine di curriculum-vitae.
Ma dalle ore undici in poi cos’hanno fatto i criminali? Si son dati per vinti?
No, hanno cambiato rotta, obbiettivo, tornando a colpire Sparkasse, la Cassa di Risparmio di Bolzano, per altro colpita con il precedente attacco sino a ieri.
La mail odierna di attacco a Sparkasse, come si può notare dall’immagine sottostante, Continue reading this entry »
Banca Mediolanum con form allegato
gennaio 24th, 2012
Ieri si è verificato un attacco a Banca Mediolanum, con email di attacco contenenti in allegato un form html denominato tabella.html
che inviava le credenziali ad una pagina php su Altervista Continue reading this entry »
R-Team loves Sparkasse
gennaio 24th, 2012
Prosegue anche oggi l’attacco alla Cassa di Risparmio di Bolzano.
Dopo che il server utilizzato ieri (69.198.139.94) non è più risultato raggiungibile nella notte i criminali sono tornati a posizionare i file di redirect sul Ms Windows Small Bisuness Server 2003 già usato la scorsa settimana. Continue reading this entry »
Attacco a Banca Popolare dell’Emilia Romagna
gennaio 23rd, 2012
Speravo di riuscire a pubblicare il post relativo a questo attacco in mattinata, ma altre incombenze non me lo hanno permesso. Però l’istituto è stato avvisato.
La mail di attacco
presenta il link al file clients.htm inserito nella root directory di un sito sud africano.
Su di esso Dirbuster consente di individuare statistiche di una tipologia non ancora vista
Da qui ad trovare la shell, protetta da password, il passo è breve Continue reading this entry »
R-Team ancora su Cassa di Risparmio di Bolzano
gennaio 23rd, 2012
Lo scorso venerdì nel tardo pomeriggio è stato infine cancellato l’ultimo dei nove domini utilizzato da R-Team per l’attacco a Cassa di Risparmio di Bolzano cominciato nella tarda serata di domenica 15 Gennaio. I redirect inseriti sul server identificato dall’indirizzo ip 71.22.21.245 non sono più stati aggiornati per quanto siano rimasti presenti.
Questa settimana comincia con un nuovo attacco di R-Team sempre a Cassa di Risparmio di Bolzano, nel quale troviamo una interessante novità: R-Team ha cambiato la prima pagina del clone. La mail
conduce al file di redirect yds2.htm posizionato nuovamente su un Ms Windows Small Business Server 2003
che porta alla pagina clone in un dominio creato ad hoc in hosting su Yahoo
come possiamo vedere i criminali hanno modificato la pagina clone, adattandola a quella dell’istituto.
La seconda pagina del clone non è invece cambiata ed in essa viene richiesta la sola password dispositiva
Come al solito nell’istante temporale in cui i file venivano creati sul server qualcuno controllava la loro resa via browser dalla Romania.
Tra un’oretta esce il post sull’odierno attacco a Banca Popolare dell’Emilia Romagna, rimanete sintonizzati.
Ancora in appoggio
gennaio 18th, 2012
Ed ecco che R-Team torna ad usare il medesimo dominio su Register.it come appoggio quando i cloni su Yahoo gli vengono cancellati
Lo vediamo meglio nel monitoraggio dell’attacco cominciato la sera del 15 Gennaio
tra poco creeranno un altro dominio su Yahho o Altervista, oppure troveranno un assetmanager non protetto da login, caricheranno il nuovo clone e riaggiorneranno i redirect.
Prosegue …
gennaio 18th, 2012
Non mi stava tutto la pagina nel monitor, ho dovuto ruotarla sul monitor e poi …’na faticaccia con il mouse andar dalla parte giusta… Continue reading this entry »
R-Team con dominio di appoggio
gennaio 17th, 2012
Continua l’attacco di R-Team a Cassa di Risparmio di Bolzano
l’url riportato nella mail fa riferimento sempre al medesimo server Ms Windows Small Business Server 2003 utilizzato nell’attacco di ieri. Nel caso odierno il file di redirect ri.html conduce alle pagine clone in hosting, al momento attuale, su Yahoo
come possiamo vedere dai rilievi di Fraud Page Tracker Continue reading this entry »
R-Team ancora su CR Bolzano
gennaio 16th, 2012
Gli attacchi della scorsa settimana a Cassa di Risparmio di Bolzano proseguono anche questa settimana.
Il link contenuto nella mail porta al solito file di redirect, questa volta denominato tools.htm, posizionato su un Ms Windows Small Business Server 2003.
La mail è arrivata già ieri sera, verso le 20:51, (ringrazio il mio fornitore ufficiale) ma il link non è stato funzionante sino alle ore otto odierne.
Questo lascia trasparire un approccio prudente da parte di R-Team. Se il redirect fosse già stato funzionante ieri sera, il sito clone sarebbe stato immediatamente individuato e chi incaricato del servizio avrebbe già potuto avviare la procedura di shutdown ieri sera.
Attivando il redirect questa mattina hanno potuto godere di un certo margine di tempo prima che il primo clone
posizionato su Altervista venisse oscurato.
Il dominio su Altervista è stato sospeso verso le ore nove odierne, quando il clone è stato spostato su Register.it ..e questo rappresenta una novità.
