Segnalazioni di mail di phishing o malware vario

[crazy.cat]

@ crazy.cat
per caso ti capita di ricordare l'URL ricevuto che origina il caso di phishing "CartaBCC" che oggi reindirizza verso i sottodomini casuali del TDL *.advicety.com/wps/login.php e se sì lo potresti postare?

Era questo hxxp://k7qfu.advicebp.com/c/, ma ha chiuso baracca, è sparita anche l'immagine dentro la mail (che era di ieri).
Alla prossima pubblico anche quello allora, tanto ogni 3/4 giorni arriva puntuale.

[crazy.cat]

Oggi tocca a carta si


La cosa più preoccupante è che andando a frugare all'interno del sito ci trovo un file di testo che contiene moltissime utenze e password parecchio credibili, tutte inserite tra ieri e oggi, con registrato l'orario e l'ip di provenienza.

[Andy94]

A parte l'ultimo pezzo di testo e il fatto che quel tipo di email perviene solitamente in formato HTML (quindi colorata e con tutti i crismi) la prima parte è molto simile a quella reale.

Lo dico perché ne ricevo due al mese, reali, per le mie due carte di credito.

[leofelix]

Grazie crazy.cat
l'allegato ricevuto io lo invierei a sophos ( https://secure2.sophos.com/it-it/suppor ... ssion.aspx ) e a eset (a ESET si può inviare via e-mail compresso zip a samples[at]eset.com, oggetto "Suspected infection" e link a virustotal) perché lo analizzino, inviarlo ad altri servizi di sicurezza so per esperienza essere pressoché inutile.

In quanto al sito in sè anche tutti i sottodomini sono affetti, li ho segnalati a phishtank, netcraft, google, microsoft ed eset (bitdefender credo tenga d'occhio phishtank chè dopo ogni segnalazione l'URL compromesso viene aggiunto ai loro data base).
Se qualcuno ha un account su phishtank e vuole dare una mano a verificare ecco le segnalazioni in merito:

*https://www.phishtank.com/phish_detail. ... id=3086440
*https://www.phishtank.com/phish_detail. ... id=3086438
*https://www.phishtank.com/phish_detail. ... id=3086439

Mi ha sorpreso anche l'intestazione delle pagine "valentina raffaele de..." anzichè "Cartasì", questi phishers non devono essere poi così abili.

Ho riletto alcuni miei messaggi precedenti, ho scritto TDL invece che TLD per indicare "Dominio di primo livello", la prossima volta eviterò acronimi in lingue straniere

Già che ci sono Buona Pasqua a tutti

[crazy.cat]

Se a qualcuno può interessare
https://turbolab.it/pc-642/phishing-com ... itarlo-623

[leofelix]

a me interessa e molto, grazie crazy.cat,
l'ho letto stamattina prima di uscire.
Riporto qui un caso di phishing che mi è arrivato due giorni fa su una casella yahoo, apparentemente da una banca tedesca.



Nella immagine arancione in basso e poco visibile nello screenshot catturato si nasconde il vero URL che è questo

*w w w. de-sicherungsportal.cc/online/abgleich/daten/freischaltung/brokerage/abgleich/

Chrome lo segnala come phishing ma il sito è già offline, qui il rapporto di urlquery
https://urlquery.net/report.php?id=1428486634008
(si noti che è anche nella blacklist di fortinet)

Ecco gli header (da notare che il phish proviene da Received: from h2401560.stratoserver.net ([85.214.132.166]:54342)
by vps.engeselt.com.br with esmtpa (Exim 4.85) e non da sparta.de) mentre l'xp originating address del mittente appare essere questo 187.45.182.28. Il sito invece risiedeva su un server cloudfare 104.27.186.82 )

From Sparda Bank eG Mon Apr 6 12:53:55 2015
X-Apparently-To: ; Mon, 06 Apr 2015 15:33:30 +0000
Return-Path: <banking @ sparda.de>
X-YahooFilteredBulk: 187.45.182.28
Received-SPF: none (domain of sparda.de does not designate permitted sender hosts)
X-Originating-IP: [187.45.182.28]
Authentication-Results: mta1250.mail.bf1.yahoo.com from=sparda.de; domainkeys=neutral (no sig); from=sparda.de; dkim=neutral (no sig)
Received: from 127.0.0.1 (EHLO vps.engeselt.com.br) (187.45.182.28)
by mta1250.mail.bf1.yahoo.com with SMTPS; Mon, 06 Apr 2015 15:33:30 +0000
Received: from h2401560.stratoserver.net ([85.214.132.166]:54342)
by vps.engeselt.com.br with esmtpa (Exim 4.85)
(envelope-from <banking @ sparda.de>)
id 1Yf6XN-0005Hi-H4
for ; Mon, 06 Apr 2015 08:53:59 -0400
Message-Id: <IEYLNWCY-16XO-8KV-IILY-TKN6D8HGHEB@sparda.de>
Mime-Version: 1.0
From: Sparda Bank eG <banking @ sparda.de>
To:
Subject: =?iso-8859-1?Q?Wichtig:_Kontoschlie=DFung_[06.04.2015]?=
Date: Mon, 6 Apr 2015 14:53:55 +0200
X-Priority: 2
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - vps.engeselt.com.br
X-AntiAbuse: Original Domain - ymail.com
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - sparda.de
X-Get-Message-Sender-Via: vps.engeselt.com.br: authenticated_id: servidorjp @ engeselt.com.br

Hurricane Electric può essere di ausilio per determinare se negli IP incriminati risiedono dei siti o si tratti di macchine infette
http://bgp.he.net/
(basta inserire l'ip e controllare il DNS, stessa cosa se si vuole sapere l'ip dove risiede un dominio)
Hurricane Electric non è perfetto ma lo preferisco a robtex https://www.robtex.com/ per questo genere di ricerche, alrimenti uso delle estensioni che mi danno indicazioni più precise ma il sito deve essere online

------------

nota in merito al mio post precedente: quando indicavo di inviare i files solo a sophos ed ESET mi riferivo solo ai file html di phishing ricevuti in allegato evitando le altre security houses ma questo non è valido per i file eseguibili naturalmente.

Solitamente Sophos, Avira ed Emsisoft sono rapidissimi, anche Kaspersky è rapido nel risponderti ma solo se hai un account e il loro antivirus registrato.
Per ESET chi usa il programma può anche inviare tramite lo stesso antivirus files sospetti.
Anche Dr.Web è sufficientemente rapido anche se non si usa il programma
https://vms.drweb.com/sendvirus/?lng=en

--------------
altra nota che può essere di aiuto a chi intende segnalare casi di phishing:
Symantec
https://submit.symantec.com/antifraud/phish.cgi
Fortinet
http://www.fortiguard.com/static/webfiltering.html

--------------

[leofelix]

ennesima ondata di phishing di siti di falsa CartaBCC (Sempre intestata al solito "Gentile Titulare")

L'URL

hxxp : / / wwwjigxk. jigxk. zeotech. co. th/ view (rimuovete gli spazi) reindrizza al momento verso sottominini casuali di *.pet-relocation-services. com / wps / login.php
Da notare che il dominio pet-relocation-services. com vero e proprio risiede su ben altro IP address rispetto ai sottodomini di phishing.
Al momento sono tutti bloccati da Google e NetCraft/Opera.
Il Phish è geo-localizzato, è visualizzabile e raggiungibile solo dall'Italia, quindi phishtank è relativamente poco utile, ma almeno altri servizi lo controllano e alcuni antivirus bloccano già i siti compromessi

[Al3x]

"Gentile Titulare"

sembra di sentire parlare Mourinho

è strano come, a fronte dell'impegno che impiegano a creare la trappola, non curino adeguatamente il testo delle mail che spediscono. Se fatte bene farebbero la metà del lavoro...

[The Doctor]

Se fatte bene farebbero la metà del lavoro...

E il doppio dei morti

[crazy.cat]

E dopo oltre un mese di pausa in cui i phisher si erano dimenticati di scrivermi, mi arriva la mail da poste 0nline


Che rimandava a questa pagina, ormai rimossa
hxxp://www.tuomuseo.it/.q/?view_mioindirizzomail

[Al3x]

sono tornati anche nella mia casella @tin.it

[crazy.cat]

Ancora poste italiane


Rimanda a questa pagina con modulo per verifica dati personali.
hxxp://https.www.poste.it.nls2civ.bgsa4w4zve.lielonl ... c/main.php

[crazy.cat]

Molto curato, ti fanno diventare cliente verificato per fregarti meglio.

Rimanda a questo sito hxxp://https.www.posteonline.it.cbu1wtl.0e5htmb7n9.j ... e/main.php

[crazy.cat]

Il ritorno di carta si:

Caro Cliente,
Prego urgente a tutti i clienti di reintrodurre i loro dati personali e le informazioni della carta di credito perchè abiamo ricevuto molti attacchi cibernetici questa mattina.
Le persone che ignorano questo messaggio gli verranno bloccate le CartaSi fino alla risoluzione dei problemi.
Cliccate sul pulsante qui sotto:
hxttps://titolari.cartasi.it/servizi_online/
Grazie,
CartaSi S.p.A. © | P.IVA 04107060966.

Il link a cui punta è questo:
hxxp://hlrvzyumwb.swmoinsurance.com/.view/index.php?hlrvzyumwb/sicurezza.go?hlrvzyumwb

Poi si viene rimbalzati in siti con i link assurdi che cambiano ogni volta:
hxxp://www.cartasi.it.rofyekcgonzvxkos1eu1p4d5 ... /gtwpages/

hxxp://www.cartasi.it.ckcbmsqde9ntdeffdvzh3dcm ... /gtwpages/

[Al3x]

Ho ricevuto un messaggio che si presenta come spedito dalla telecom. La novità rispetto ai soliti messaggi è quella di lanciare il browser in automatico il quale cerca di caricare il sito map.episoft.com
Il problema di esecuzione di script contenuti all'interno dei messagg di posta è stato risolto da tantissimo tempo in ambiente Windows. Mi chiedo da cosa dipenda invece questo comportamento pericoloso mostrato dal client di posta di Samsung: scarso occhio alla sicurezza o bug sfruttato a dovere? Come mai non vedo segnalazioni in giro?

[Al3x]

Mi correggo, sono riuscito a leggere il contenuto dell'email disattivando la connessione del telefonino. Mi comunica l'iscrizione(?) al sito campioniomaggio.it fornendomi nome utente e password per accedere al servizio. L'indirizzo apparente di provenienza è clara.miotto@lasolutionformation.fr

che pastrocchio

[leofelix]

Mi correggo, sono riuscito a leggere il contenuto dell'email disattivando la connessione del telefonino. Mi comunica l'iscrizione(?) al sito campioniomaggio.it fornendomi nome utente e password per accedere al servizio. L'indirizzo apparente di provenienza è clara.miotto@lasolutionformation.fr

che pastrocchio

Ciao,
Qui trovi la spiegazione:

http://www.campioniomaggio.it/campioniomaggio-it-e-mail-di-iscrizione-false/

Il sito è sicuro da visitare, anche se gira su una versione obsoleta di Web Apache Server.

[edit to add]

@ crazy.cat,
ho ricevuto anche io il medesimo caso di phishing, anche il relativo address è compromesso, il problema è che è geo-localizzato, quindi phishtank visualizza il primo URL come la pagina di google e il secondi casuali sottodomini di reindirizzamento come inaccessibili.
Qualcuno mi è stato accettato da Netcraft ed Eset, google fortunatamente li blocca già tutti.

[crazy.cat]

Triplo messaggio, due fatti male che rimandavano a questo sito al momento non attivo, il secondo scritto senza accenti e con errori.

hxxp://www.oneclicktennis.com\scan_statement_id_50003950000114........pdf%281%29.html/



Come misura di sicurezza, controlliamo regolarmente le attivita su Poste online.
Recentemente si a verificato un problema relativo al tuo conto.

Abbiamo rilevato attivita sospette in relazione alla ricezione di fondi.

Numero di riferimento: BPOL-A0G-901-332

Abbiamo limitato temporaneamento l'accesso al tuo conto. Una volta che ci avrai inoltrato le informazioni richieste, la limitazione verra sottoposta
a riesamina.
Per rispondere e rimuovere la limitazione, visita il (Centro risoluzioni).
Grazie per la collaborazione nel risolvere il problema.
Assistenza clienti BancoPosta Click online
Non rispondere a questa email. Questa casella di posta non e monitorata e quindi non riceverai alcuna risposta. Per ricevere assistenza, accedi al
tuo conto BancoPostaonline e clicca sul link Aiuto nell'angolo superiore destro di qualsiasi pagina Poste.

-----------------------------------------------------------------------
2015 BancopostaClick. Tutti i diritti riservati.

BancopostaClick (Italia) S.a r.l. & Cie, S.C.A.
Casella Postale 160 00144 Roma (Rm)

****************************************************************
Questo invece aveva html allegato che rimandava al sito del turismo del Nepal.


* Si prega di confermare i Suoi dati personali.
* Come parte delle nostre misure di sicurezza: uni 12 mesi vi intiamo a aggiornare i vostri

* Dati personale per poter facilitarci la vostra protezione e migliorare la nostra sicurezza.
* La procedura e molto semplice:
* Per confermare i vostri dati personali, e necessario scaricare e compilare il modulo allegato a questa email.
Grazie per aver scelto Poste Italiane.

----------------------------------------------
Support Clients Service

[crazy.cat]

Gli amici degli indirizzi lunghi e assurdi sono tornati, si parte da questo sito per finire in quello chilometrico.
hxxp://wvlaxphjqa.frisson-lingerie.com/.sicurezza.go/?mioindirizzoemail

[Cris]

Enel informa che in questi giorni sta circolando una e-mail, apparentemente inviata da Enel Servizio Elettrico, che invita il cliente a cliccare su un link che rimanda a un sito “clone” di quello ufficiale. L’utente viene invitato a scaricare una finta bolletta che in realtà contiene un virus informatico molto potente.

[PippoDJ]

Enel informa che in questi giorni sta circolando una e-mail, apparentemente inviata da Enel Servizio Elettrico, che invita il cliente a cliccare su un link che rimanda a un sito “clone” di quello ufficiale. L’utente viene invitato a scaricare una finta bolletta che in realtà contiene un virus informatico molto potente.

Grazie Cris. Ed eccola qui in tutto il suo splendore:

...come vedete, a parte qualche problemino con i caratteri accentati, sembra molto credibile.

Se il client di posta lo consente, passando il mouse sopra i link, si può capire facilmente che gli indirizzi non sono certo quelli del sito ufficiale Enel:

L'eseguibile (mascherato da PDF) al momento in cui scrivo totalizza un misero 6/55 su VirusTotal destinato ad aumentare... suppongo.


Fate attenzione e diffondete ai meno esperti!

Ciao, Pippo.

[Al3x]

Il messaggio mi è arrivato presso l'indirizzo di posta aziendale a nome di rollo.stefania proveniente da
beni_kern@pc-poschung.ch senza alcun oggetto

Il messaggio contiene solo un link:

hxxp://bienamen.com/gseunuh/qcoiwvgmipbbwdv.icxofjasjpvdsvfpifrwrsbzqxklgcxjyccxj

che al momento risulta positivo per due antivirus ed è classificato come malware site

https://www.virustotal.com/it/url/8786e ... 438578168/

[crazy.cat]

Phishing ubi banca che sembra fatto nello stile di quelli cartasi:

Gentile crazy.cat@xxx.it,
Ha ricevuto questa mail perche vedendo i vari accessi al suo account abbiamo il sospetto che terzi ne facciano uso.
Al fine di tutelare la vostra sicurezza, abbiamo momentaneamente bloccato l'accesso al suo conto online e vostra carta.

Per poter ripristinare il servizio, le chiediamo di verificare la sua identita cliccando sul link che segue.
Per conferma clicca qui
NOTA: Se non compilare il modulo in 24 ore portera alla cancellazione nostro accordo.
Ci scusiamo per l'inconveniente.
Distinti Saluti,

Grazie per aver scelto Gruppo UBI Banca.

Il link clicca qui rimanda a questo sito
hxxp://xtbbnzpsid.srmtherapy.com/.u/?view_crazy.cat@xxx.it
che a sua volta apre
hxxp://https.www.ubibanca.com.xw181kf0iioctl6xv5qwbp ... e.com/ubi/

[crazy.cat]

Phishing banco poste:

Gentile cliente,
Ti informiamo che il 06/08/2015 alle ore 19:21 si e' registrato un tentativo di accesso al "Servizio Internet"
da un indirizzo IP a noi sconosciuto ( 87.18.221.1 ).
Questa segnalazione gratuita ti viene inviata, per incrementare la tua sicurezza.
Certifica il tuo conto e rendi sicura la tua connessione con un solo click:
hxxps://bancopostaclick.poste.it/cweb/Certifica
Nota: Questo e' il risultato di un normale controllo di sicurezza.
Grazie,
BancoPosta Click.

Questo hxxttp://radioveronica.co.uk/.fdqa/index.htm è il primo link che reinderizza a hxxp://jkdist.com/js/.Kdwapl/.af/SMACCESS/cweb/sicura/formslogin.aspx/formlogin.php?TYPE=514774891&METHOD=GET&SMAGENTNAME=6153769oBkdjoaKJ087o54Ai18zPy3gDPw895ABndJ69702327234708&TARGET=conto_%verficare

[crazy.cat]

Dopo un periodo di vacanze tornano i nostri amici del phishing, l'indirizzo originale è questo
h++p://https.www.credem.it.ielpxsomgd.mybigitnaklang ... @libero.it
E poi rimanda al solito sito web dall'indirizzo chilometrico già visto più volte con poste e bcc.