28 Ottobre 2009 ore 09:00 di: Giacomo Dotta

http://www.webnews.it/img/news/news_5b706c9a43e5cc4e.jpg

Una mail che annuncia la necessità di ridefinire la password su Facebook. Un mittente fasullo, un allegato maligno mascherato da documento contenente la nuova password. Si nasconde sotto questa nuova veste "social" un tradizionale schema di infezione

Una mail in arrivo. Un oggetto conosciuto, un tema che attira l'attenzione, un allegato. Nel testo v'è l'invito ad aprire l'allegato. Chi naviga sul Web sa che, quando lo schema è questo, l'ultima cosa da fare è aprire il file senza prima controllare la provenienza della mail. L'inganno, però, scatta quando si riesce a superare questa barriera psicologica e si porta l'utenza al click. Ciò che rende speciale un virus rispetto alla media è in questo processo, nelle modalità con cui si scatena la molla psicologica del click privo di precauzioni. Ed è questa la peculiarità della nuova versione del trojan Bredolab.

Continua su WebNews ======>> (http://www.webnews.it/news/leggi/11743/un-trojan-normale-reso-speciale-da-facebook/)






Fonte: WebNews (http://www.webnews.it/news/leggi/11743/un-trojan-normale-reso-speciale-da-facebook/)

giovedì 29 ottobre 2009

In queste ore si sta assistendo ad un notevole invio di mails pericolose con links a sito di phishing ai danni di Facebook.
(fonte immagine http://blog.appriver.com/)

Contrariamente alle mails con incluso come atachment un file zippato malware, in questo caso abbiamo un link diretto ai siti che vedremo ora.

Si tratta di migliaia di mails di spam con link a pagine di phishing con layout di falso account Facebook che redirige, a sua volta, su altra pagina, sempre fasulla, di download di un aggiornamento sotto forma di eseguibile pericoloso dal nome updatetool(dot)exe.
La nuova e-mail di phishing, che si maschera da un messaggio da Facebook, promette di offrire agli utenti un nuovo e piu' facile processo di login, attraverso l'aggiornamento della procedura di account.
(img sul blog)
Alcuni ricercatori confermerebbero inoltre l'impressionante numero di mail inviate utilizzando la botnet.
Si parla infatti di piu' di 1'000 mails al minuto per ogni nome di dominio gestito dalla botnet per un totale di 30.000 mails al minuto (al momento sarebbero gia' piu' di un milione e mezzo le mail inviate)

Inoltre l'attacco coinvolgerebbe pure gli account utilizzati sugli smartphone che utilizzano applicazione Facebook


Vediamo alcuni dettagli:

Questa la pagina fasulla di login proposta, (con in evidenza gli IP multipli di provenienza)

http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/facebook%2029%2010/ph12009-10-29_134532.jpg

che confermano l'utilizzo di probabile tecnica fast-flux (in questo caso gestita da Zeus Botnet)
Una volta effettuato il falso login si viene portati su questa pagina, sempre gestita dalla botnet,

http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/facebook%2029%2010/phpage2.jpg

che invita a scaricare il file di update (trojan).
Una analisi VT vede al momento un riconoscimento abbastanza basso del malware

http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/facebook%2029%2010/vt.jpg

mentre come si nota da questo dettaglio i tempi TTL sono abbastanza brevi.
(report sul blog)
Una analisi con uno script Autoit della provenienza degli IP coinvolti mostra
(report sul blog)
con il consueto coinvolgimento di differenti nazioni.

Ulteriori dettagli su http://blog.appriver.com.

Aggiornamento

E' interessante notare come l'url della pagina di phishing accetti anche l'indirizzo mail da proporre automaticamente nel form di login.

http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/facebook%2029%2010/mailinadresspage.jpg

In pratica si puo' creare un link che oltre che ad aprire il sito di phishing abbia gia' "precompilato' l'indirizzo mail del visitatore cosa che potrebbe invogliare ad effettuare il login pericoloso.


Edgar :D

fonte: http://edetools.blogspot.com/2009/10/facebook-phishing-con-eseguibile.html

AVVISO ! Ricordo che anche se i links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta pagine con di links anche a files eseguibili spesso poco riconosciuti dagli AV.

Una breve ricerca in rete ha portato ad individuare i nomi di dominio che attualmente , tramite il probabile utilizzo della Zeus botnet, distribuiscono il malware sotto forma di falso update tool per gli utenti Facebook.........

Segue sul blog............. (http://edetools.blogspot.com/2009/10/i-domini-che-linkano-false-pagine-di.html)

Edgar :D

Fonte: http://edetools.blogspot.com/2009/10/i-domini-che-linkano-false-pagine-di.html