Lottomatica 1, 2, 3, 4, 5, 6, 7, 8, 9, 10 ….
novembre 8th, 2011
Con ieri (07/11/2011) siamo entrati nella decima settimana consecutiva di attacco.
il server su cui è stato inserito il redirect a.htm è un Windows Small Business Server 2003 e dovrebbe essere della Dows Electrical, società di forniture di energia australiana.
In modo del tutto simile a quanto avvenuto in passato, nmap ci indica che sull’host è attivo anche terminal server.
L’utilizzo del redirect htm e dei server basati su Windows Small Bisiness Server 2003 non è una novità per l’R-Team, che tuttavia non è l’unico ad aver attaccato Lottomatica in queste dieci settimane.
Apparentemente il nome a.htm si discosta da quelli usati dall’R-Team, ma se si dispone di dati sul lungo periodo si può rilevare (mannaggia a me che ho perso il db di posta di quel periodo, mi baso quindi sugli appunti) come nel gennaio 2010 il gruppo criminale avesse già usato questo nome con la variante però dell’estensione html.
La continuità nell’operato del gruppo, dalla scorsa settimana a questa, ci è data dall’indirizzo ip da cui le mail sono state inviate, sempre il britannico 91.84.210.220.
Una particolarità delle ultime settimane di attività dell’ R-Team: la visualizzazione di un indirizzo e-mail mittente legato a Banca Sella, nello specifico service@bancasella.it e non più assistenza@lottomatica.it come in passato.
Sfortunatamente in Banca Sella (la cui sede centrale per altro dista solo una trentina di chilometri da me) non riesco ad andare oltre al centralino che si ostina ad indirizzarmi ai numeri verdi per i clienti.
(ringrazio mio solito fornitore)
Sempre ieri vi è stato un secondo attacco (questo riportatomi da Edgar) a Lottomatica, portato però con la tecnica del form da compilarsi in locale.
In questo caso la mail di attacco, apparentemente inviata da Servizi@lottomaticard.it, è partita dall’indirizzo ip coreano 218.144.64.44 e contiene l’allegato Modulo.htm
La particolarità sta nel fatto che le credenziali inserite nel form vengono inviate ad un server web che dialoga solo in https
avente indirizzo ip britannico intestato ad una società canadese.
Qui c’è poi un piccolo inganno forse: se infatti cerchiamo di caricare quale url https://host1.xxxxxx.co.uk troviamo il file index.php che ci indirizza al sito http://www.securerad.com/ su un ip statunitense, apparentemente non legata a quella del server britannico/canadese.
Le differenze rilevate rispetto al primo attacco descritto e all’usuale modalità operativa di R-Team, come descritta nel post “Lottomatica si approssima alla cronicizzazione” ed evidenziata da questa immagine, lascia ipotizzare che tale attacco sia ad attribuire ad un alto gruppo criminale.
Infatti in sette differenti attacchi portati via allegato, R-team ha sempre spedito le credenziali al file run.php, prendendolo per altro dai kit contenenti il clone usuale.
In quest’ultimo caso descritto abbiamo invece l’invio della mail da un nuovo indirizzo ip, l’uso di un file php dal nome non usuale per l’R-Tesam ed il suo inserimento su un host non dotato delle piattaforme da loro precedentemente utilizzate.
Leave a Reply