Phishing a danno dei clienti del Gruppo Hera

dicembre 18th, 2012

Lo scorso venerdì 14 Dicembre 2012 D3Lab ha rilevato, poco dopo le 10 di mattina, un tentativo di frode a danno degli utenti del Gruppo Hera, fornitore di servizi energetici ed ambientali a privati, aziende e amministrazioni pubbliche.
Il phishing in questione mirava principalmente a colpire i clienti privati con una mail nella quale veniva ventilato la disponibilità di rimborso di oltre 300 euro.

mail fraudolenta

Il link proposto nella mail portava ad un file index.php, posizionato su un server polacco di Hostings.plm, avente funzione di redirect che portava alla pagina clone

Pagina clone

riproducente grafica e loghi del Gruppo Hera, finalizzata ad acquisire i dati delle carte di credito dei visitatori più ingenui.
Le pagine clone erano, o meglio, sono inserite (perché a distanza di quasi 5 giorni sono ancora lì)  in un sito sempre sul medesimo server di Hostings.pl.

Dopo aver inserito i dati ed aver dato l’invio si viene semplicemente riportati sulle pagine ufficiali del gruppo.

Ulteriori accertamenti svolti venerdì scorso hanno permesso di rilevare un secondo file di redirect posizionato in un terzo sito presente sempre sul medesimo server polacco.

L’esame degli headers del messaggio di posta, consentiva di rilevare come questo fosse stato inviato utilizzando un php mailer

headers messaggio di posta

posizionato su un server estone.

Più approfondite analisi hanno evidenziato come sia il sito estone che due dei tre siti presenti sul server polacco poggiassero su WordPress ed usassero temi facenti uso di file timthumb.php vulnerabili

no image specified
Query String :
TimThumb version : 1.28

no image specified
Query String :
TimThumb version : 1.19

no image specified
Query String :
TimThumb version : 1.19

Non sappiamo se tutti e tre i timthumb fossero effettivamente funzionanti, ma lo si può ipotizzare almeno per quello sul server estone e per uno dei due residenti sul server polacco.
Si può ipotizzare che sul server polacco, l’aggressore una volta uloadata la sua shell grazie ad un solo timthumb abbia poi ricercato directory con permessi di scrittura per chiunque in cui posizionare i propri file.

Un esame del sito contenete il clone  ha permesso di individuare il kit che il phisher ha uploadato e poi scompattato rinominandolo prima herra e successivamente www.gruppoherra.it

kit esploso

L’esame del file submit.php mostra come le credenziali non vengano scritte su file nella medesima directory, né inviate via mail, ma caricate su un file in /tmp

codice gestione credenziali

il che la dice lunga!

In tal modo il phisher ha principalmente due modi per leggere le credenziali: o accede sempre con la sua shell remota e va a leggere il file, oppure ha creato un link tra il file /tmp/italia.txt ad una directory accessibile da browser, in quanto facente parte di uno dei molti siti presenti sul server polacco. Per rimanere su metodiche semplici senza scomodare script posizionati in altre directory scrivibili di siti diversi, messi in cron per recapitare le credenziali.

Riguardando il fax inviato al Gruppo Hera alle 12.09 mi sono accorto ora di aver sbagliato ad indicare il giorno, scrivendo lunedì, anziché venerdì.
Mi domando se sia questo il motivo per il quale io sia stato preso in così poca considerazione da  da non meritare neanche una comunicazione in risposta al fax, comunicazione riservata invece ad Anti-Phishing Italia.

In ogni caso i buoni auspici di Hera, riportati sulle pagine di Anti-Phishing Italia

Hera ha immediatamente provveduto a denunciare il fatto alle competenti Autorità inquirenti, affinché venga al più presto bloccata la pagina web utilizzata per tale frode.

relativi all’attacco di venrdì 14/12/2012 sono rimasti tali …semplici auspici, perché ancora oggi le pagine sono raggiungibili.

Anzi! il phisher oggi (martedì 18/12/2012) ha bissato con una nuova mail fraudolenta.
L’attacco odierno coinvolge altri cinque siti in hosting sul medesimo server polacco, cinque per il redirect ed uno per il clone, mentre per l’invio della mail gli headers indicano l’utilizzo di un mailer php posizionato in un sito basato su joomla.
Anche in questo caso è stato possibile procedere al recupero del kit verificando l’utilizzo della medesima modalità di conservazione delle credenziali.

I rilievi svolti hanno permesso di appurare che dei cinque redirect due conducono verso la pagine clone di venerdì scorso, ancora attiva, e tre verso quella odierna.

Phishing | Comments | Trackback

2 Responses to “Phishing a danno dei clienti del Gruppo Hera”

  1. 1Fedro
    dicembre 20th, 2012 @ 16:16

    Buongiorno Dott. Frati,
    ha per caso notizie su eventuali tentativi di phishing ai danni di clienti Corsica e Sardinia Ferries ?
    Pochi giorni fa mi ero registrato sul loro sito per acquistare dei biglietti, ed oggi per la prima volta ricevo una mail quasi sicuramente di phishing a nome loro. Mi verrebbe da presupporre che qualcuno sia entrato in possesso delle loro mailing-list.
    Ho già segnalato il caso ad anti-phishing.it, Sarebbe interessante appronfondire l’argomento.
    Un saluto.

  2. 2admin
    gennaio 7th, 2013 @ 13:32

    risposto in privato, comunque in base a quanto mi ha inviato non si trattava di phishing

Leave a Reply

  1.  
  2.  
  3.  
  4. XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

You can keep track of new comments to this post with the comments feed.

Cerca

dicembre: 2012
L M M G V S D
« nov   gen »
 12
3456789
10111213141516
17181920212223
24252627282930
31  

Categorie

Blogroll

Feed

Subscribe to my feed
blaze.runner@katamail.com blaze.runner@email.it phishing@denisfrati.it bianchi_luigi1960@tiscali.it rossi_mario1960@tiscali.it laura.rossi80@libero.it laura.rossi80@tiscali.it denis.frati@poste.it cerca.soldi@infinito.it mario.rossi71@infinito.it