c.m.g
17-03-2008, 09:07
16.03.2008
Trojan colpisce Poste Italiane. Pochi antivirus in grado di rilevarlo, a rischio migliaia di conti correnti on-line
http://www.anti-phishing.it/image.news/poste.005.png
Anti-Phishing Italia ha rilevato la circolazione in Rete a partire da giovedì scorso di una nuova variante di phishing ai danni di Poste Italiane. Nuovo perché invece di richiedere di visitare il sito web del gruppo romano i phisher invitano le potenziali vittime ad effettuare il download del fantomatico pacchetto di sicurezza Poste Internet Security 2008.
http://www.anti-phishing.it/phishing.image/email_trojanposte_01.png
http://www.anti-phishing.it/phishing.image/email_trojanposte_02.png
Un utility tutt’altro in grado di aumentare la sicurezza del proprio Pc, la quale per il momento è libera di “girovagare” liberamente dato che sono ancora pochi i software anti-virus in grado di rilevarla. Cliccando sul link proposto è effettuato il download del file posteavs.exe, il quale se eseguito provoca l’alterazione del file HOSTS presente nel computer colpito.
http://www.anti-phishing.it/phishing.image/email_trojanposte_03.png
http://www.anti-phishing.it/phishing.image/posteavs.exe.png
In pratica ogni qual volta l’utente digita nel proprio browser l’indirizzo www.poste.it, invece di essere trasportato nel vero sito di Poste Italiane verrà condotto nel suo sito clone, mettendo così a rischio il proprio conto corrente on-line, dato che in caso di inserimento dei dati d’accesso (username e password) questi finiranno nelle mani dei truffatori.
Ecco gli indirizzi compromessi e la relativa nuova destinazione:
www.poste.it --> 213.133.126.123
poste.it --> 213.133.126.123
bancopostaonline.poste.it --> 213.133.126.123
http://www.poste.it --> 213.133.126.123
http://poste.it --> 213.133.126.123
Il sito clone (231.133.126.123) risulta ospitato fisicamente in un server tedesco e la sua natura maligna è rilevata dai sistemi anti-phishing di Netcraft e Firefox (no Internet Exploror), ma attendete prima di gioire visto che tali sistemi vengono messi fuori uso dal trojan posteavs.exe e dalla sua alterazione del file HOSTS, in quanto le varie toolbar anti-truffa basano il proprio funzionamento sull’indirizzo che viene digitato nella barra degli indirizzi e non nel contenuto del sito visualizzato.
http://www.anti-phishing.it/phishing.image/email_trojanposte_04.png
Al momento dell’individuazione del file posteavs.exe gli anti-virus in grado di rilevare la sua natura maligna erano appena 6 su 32 (controllo effettuato tramite il sito web Virustotal.com) passati poi ad 8 nella giornata di ieri. Un valore troppo basso per ritenersi al sicuro visto che tali anti-virus devono essere anche aggiornati per poter bloccare questa nuova minaccia. Quindi occhi aperti!!
http://www.anti-phishing.it/phishing.image/email_trojanposte_05.png
http://www.anti-phishing.it/phishing.image/email_trojanposte_06.png
Ulteriori informazioni: Funzionamento file HOSTS (http://www.wintricks.it/faq/hosts.html)
Fonte: Anti-Phishing Italia (http://www.anti-phishing.it/news/articoli/news160308.php)
Trojan colpisce Poste Italiane. Pochi antivirus in grado di rilevarlo, a rischio migliaia di conti correnti on-line
http://www.anti-phishing.it/image.news/poste.005.png
Anti-Phishing Italia ha rilevato la circolazione in Rete a partire da giovedì scorso di una nuova variante di phishing ai danni di Poste Italiane. Nuovo perché invece di richiedere di visitare il sito web del gruppo romano i phisher invitano le potenziali vittime ad effettuare il download del fantomatico pacchetto di sicurezza Poste Internet Security 2008.
http://www.anti-phishing.it/phishing.image/email_trojanposte_01.png
http://www.anti-phishing.it/phishing.image/email_trojanposte_02.png
Un utility tutt’altro in grado di aumentare la sicurezza del proprio Pc, la quale per il momento è libera di “girovagare” liberamente dato che sono ancora pochi i software anti-virus in grado di rilevarla. Cliccando sul link proposto è effettuato il download del file posteavs.exe, il quale se eseguito provoca l’alterazione del file HOSTS presente nel computer colpito.
http://www.anti-phishing.it/phishing.image/email_trojanposte_03.png
http://www.anti-phishing.it/phishing.image/posteavs.exe.png
In pratica ogni qual volta l’utente digita nel proprio browser l’indirizzo www.poste.it, invece di essere trasportato nel vero sito di Poste Italiane verrà condotto nel suo sito clone, mettendo così a rischio il proprio conto corrente on-line, dato che in caso di inserimento dei dati d’accesso (username e password) questi finiranno nelle mani dei truffatori.
Ecco gli indirizzi compromessi e la relativa nuova destinazione:
www.poste.it --> 213.133.126.123
poste.it --> 213.133.126.123
bancopostaonline.poste.it --> 213.133.126.123
http://www.poste.it --> 213.133.126.123
http://poste.it --> 213.133.126.123
Il sito clone (231.133.126.123) risulta ospitato fisicamente in un server tedesco e la sua natura maligna è rilevata dai sistemi anti-phishing di Netcraft e Firefox (no Internet Exploror), ma attendete prima di gioire visto che tali sistemi vengono messi fuori uso dal trojan posteavs.exe e dalla sua alterazione del file HOSTS, in quanto le varie toolbar anti-truffa basano il proprio funzionamento sull’indirizzo che viene digitato nella barra degli indirizzi e non nel contenuto del sito visualizzato.
http://www.anti-phishing.it/phishing.image/email_trojanposte_04.png
Al momento dell’individuazione del file posteavs.exe gli anti-virus in grado di rilevare la sua natura maligna erano appena 6 su 32 (controllo effettuato tramite il sito web Virustotal.com) passati poi ad 8 nella giornata di ieri. Un valore troppo basso per ritenersi al sicuro visto che tali anti-virus devono essere anche aggiornati per poter bloccare questa nuova minaccia. Quindi occhi aperti!!
http://www.anti-phishing.it/phishing.image/email_trojanposte_05.png
http://www.anti-phishing.it/phishing.image/email_trojanposte_06.png
Ulteriori informazioni: Funzionamento file HOSTS (http://www.wintricks.it/faq/hosts.html)
Fonte: Anti-Phishing Italia (http://www.anti-phishing.it/news/articoli/news160308.php)