c.m.g
12-06-2012, 06:46
Attenzione: nomi di aziende, banche ed istituzioni utilizzati per diffondere virus
12 giugno 2012 – 1:21 am
http://www.anti-phishing.it/wp-content/uploads/2012/06/premi_invio_finger-300x200.jpg
Siamo di fronte ad una delle più organizzate e pericolose operazioni atte a colpire gli utenti del web italiani mai apparse nel nostro paese. Da mesi un’ondata di spam atta alla diffusione di malware bersaglia le caselle di posta elettronica nostrane. Segliamo di segnalarlo solo ora visto che negli ultimi giorni i criminali hanno deciso di alzare il tiro.
Ad aggravare la truffa anche l’utilizzo di nomi di importanti aziende, banche e istituzioni italiane quali: Banca d’Italia, il Parlamento, il Senato, il Ministero dell’Interno, Alitalia, Banca Intesa San Paolo, Poste Italiane, Banca di Napoli, solo per citarne alcuni. Coinvolte, a loro insaputa, visto che i criminali hanno registrato appositi domini utilizzando nomi molto rassomiglianti a quelli originali. Ed ecco che alitalia.it diventa allitallia.com, bancaditalia.it in bancaditallia.com e Poste italiane si trasforma in bancosposta.it. Difficile parlare di typosquatting, i domini non sono stati creati per sfruttare errori sulla tastiera da parte dell’utente, bensì per fuorviarlo dopo una rapida lettura dell’email.
Le quali inizialmente si presentavano come puro spam, ossia il campo oggetto con del testo senza alcuna logica e come corpo del messaggio il solo link al dominio trappola. Regola non più rispettata visto negli ultimi giorni i criminali hanno deciso di utilizzare testi ed oggetti, a volte scollegati tra di loro, ma che potrebbero seriamente spingere l’utente a cliccare sul link proposto al fine di verificare la vera natura del messaggio.
Questi gli indirizzi web rilevati da Anti-Phishing Italia nel periodo 1 maggio – 12 giugno 2012:
http://parlamentosenato.info
hxxp://allitallia.com/agenzia/roma/index.php
hxxp://mininterrno.info
hxxp://clubbviaggi.net/agenzia/roma/index07.php
hxxp://clubbviaggi.com/agenzia/roma/index1.php
hxxp://mininterrno.com
hxxp://easyinncontri.com/ultimaora/index.php
hxp://easyinncontri.net/agenzia/roma/index07.php
hxxp://constriv.net/agenzia/roma/index.php
hxxp://esterii.com
hxxp://bancaditallia.com/agenzia/roma/index1.php
hxxp://bancaditallia.com/ultimaora/index11.php
hxxp://palazzochigii.com
hxxp://intessasanpaol.com/agenzia/roma/index11.php
hxxp://ultimaoranews.com/agenzia/roma/index11.php
hxxp://myedreams.net/agenzia/roma/index07.php
hxxp://ultimaoranews.com/ultimaora/index07.php
hxxp://intessasanpaol.com/ultimaora/index07.php
hxxp://bancosposta.it/ultimaora/index.php
hxxp://intessasanpaol.com/ultimaora/index2.php
hxxp://bancosposta.it/agenzia/roma/index1.php
hxxp://chattta.net/ultimaora/index.php
hxxp://3bbmeteo.com/ultimaora/index.php
hxxp://movimenti.info/ultimaora/index11.php
hxxp://bancodiposta.com/agenzia/roma/index.php
hxxp://zygnaa.com/agenzia/roma/index.php
hxxp://ultimaoranews.com/ultimaora/index1.php
hxxp://biigpoint.net/agenzia/roma/index07.php
hxxp://hoooligano.com/agenzia/roma/index11.php
hxxp://movimenti.info/agenzia/roma/index07.php
hxxp://intessasanpaol.com/ultimaora/index.php
hxxp://ultimaoranews.net/ultimaora/index2.php
hxxp://myedreams.com/agenzia/roma/index07.php
hxxp://ultimaoranews.com/agenzia/roma/index11.php
hxxp://intessasanpaol.com/ultimaora/index07.php
hxxp://bancosposta.it/ultimaora/index2.php
hxxp://bancodinapolli.com/ultimaora/index11.php
hxxp://easyinncontri.com/ultimaora/index.php
hxxp://allitallia.com/agenzia/roma/index07.php
I domini lavorano tutti con la stessa modialità. Il virus (purtroppo non meglio precisato) è diffuso tramite un applet java maligna. L’applet è caricata sfruttando una serie di redirect. Prendendo come esempio il dominio http://parlamentosenato.info
http://parlamentosenato.info/
http://www.cool79.com.tw/images/process.js
http://advertclix.net/t/0f8c3791573063d8f7f2d3f5f20b8e33
http://www.anti-phishing.it/wp-content/uploads/2012/06/domainmap.gif
Il codice maligno è nascosto all’interno del dominio advertclix.net. Al momento sono pochi gli antivirus (https://www.virustotal.com/url/910882025d93d69c4f7e4a1443b1555b40058d745a51c14bb2807025f55950f8/analysis/1339454483/) in grado di riconoscere la pericolosità degli indirizzi web sopra indicati.
http://www.anti-phishing.it/wp-content/uploads/2012/06/advertclix_net_011.png (http://www.anti-phishing.it/wp-content/uploads/2012/06/advertclix_net_011.png)
Le ultime email utilizzate:
Data: Mon, 11 Jun 2012 3:38:54 +0700
Oggetto: Verifica l’indirizzo di posta elettronica per il tuo Windows Live ID
Verifica l’indirizzo di posta elettronica per il tuo Windows Live ID
Gentile
Le confermiamo l’avvenuta registrazione al Portale Eni per i servizi gas e elettricita, con la mail http://bancaditallia.com/ultimaora/index11.php da Lei richiesta
Potra accedere all’area riservata all’indirizzo http://bancaditallia.com/ultimaora/index11.php e digitando la userid e password di seguito riportate:
UserID: vetturini@gmail.com
Password: 848802406
Le consigliamo di cambiare la password assegnataLe dopo il primo accesso, utilizzando la funzione di modifica dati personali disponibile nell’area riservata.
Nell’Area Contattaci e disponibile il form per comunicare con noi.
Questo messaggio e spedito in modalita automatica.
Le chiediamo di non rispondere a questo indirizzo e mail.
http://bancaditallia.com/ultimaora/index11.php
Cordiali saluti.
Team Portale Web
——–
Data: Mon, 11 Jun 2012 16:28:34 +0200
Oggetto: nda del tuo Guglielmo Tell.
Ecco il sito che ho promesso.Spero di aiutare.
http://esterii.com
——–
Data: Mon, 11 Jun 2012 7:34:01 +0700
Oggetto: Diventa Amministratore di Condominio
Diventa Amministratore di Condominio
Questo documento e realizzato dalla Banca del Centroveneto esclusivamente
per il destinatario. Tutte le informazioni ivi contenute, compresi
eventuali allegati, sono soggette a riservatezza a termini del vigente
D.Lgs. 196/2003 in materia di “privacy” e quindi ne e proibita
l’utilizzazione. Se avete ricevuto per errore questo messaggio, Vi
chiediamo di scrivere immediatamente a http://bancaditallia.com/agenzia/roma/index1.php e
di cancellare nel contempo la presente e-mail.
http://bancaditallia.com/agenzia/roma/index.php
DISCLAIMER: Confidentiality Notice – This e-mail message including any
attachments is for the sole use of the intended recipient(s) and may
contain confidential and privileged information. Any unauthorized review,
use, disclosure or distribution is prohibited. If you are not the intended
recipient, please notify the author promptly
( http://bancaditallia.com/agenzia/roma/index1.php ) and destroy all copies of the original message.
——–
Data: Mon, 11 Jun 2012 04:24:18 -0500
Oggetto:NON TI SCORDAR DI ME
E possibile perdere i soldi! Cavo stesso.
http://mininterrno.com
——–
Data: sabato 9 giugno 2012 4.13
Oggetto: inesistente la notifica della cartella di pagamento priva della
relata di notifica
Gentile Cliente,
grazie per esserti registrato su vodafone.it
Scopri ora tutti i servizi sempre accessibili, 24 ore su 24, 7 giorni su
7, per tenere sotto controllo le spese di tutte le tue SIM.
Puoi accedere ai servizi di vodafone.it tramite login con la tua
Username %USERNAME% e la password scelta in fase di registrazione.
Hai dimenticato la tua password? Richiedila direttamente online.
http://allitallia.com/agenzia/roma/index.php
Cordiali saluti.
Servizio Clienti Vodafone
——–
Data: 07/06/2012 14.30
Oggetto: Ma rimane quel
Il tuo account ha cercato di pagare per il nostro negozio.
http://parlamentosenato.info
——–
Data: Fri, 08 Jun 2012 05:51:56 -0500
Oggetto: a fa parole amare
I vostri dati sono pubblicati sul sito!
http://mininterrno.com
Fonte: Anti-Phishing Italia (http://www.anti-phishing.it/truffe-on-line/2012/06/12/2515#more-2515)
12 giugno 2012 – 1:21 am
http://www.anti-phishing.it/wp-content/uploads/2012/06/premi_invio_finger-300x200.jpg
Siamo di fronte ad una delle più organizzate e pericolose operazioni atte a colpire gli utenti del web italiani mai apparse nel nostro paese. Da mesi un’ondata di spam atta alla diffusione di malware bersaglia le caselle di posta elettronica nostrane. Segliamo di segnalarlo solo ora visto che negli ultimi giorni i criminali hanno deciso di alzare il tiro.
Ad aggravare la truffa anche l’utilizzo di nomi di importanti aziende, banche e istituzioni italiane quali: Banca d’Italia, il Parlamento, il Senato, il Ministero dell’Interno, Alitalia, Banca Intesa San Paolo, Poste Italiane, Banca di Napoli, solo per citarne alcuni. Coinvolte, a loro insaputa, visto che i criminali hanno registrato appositi domini utilizzando nomi molto rassomiglianti a quelli originali. Ed ecco che alitalia.it diventa allitallia.com, bancaditalia.it in bancaditallia.com e Poste italiane si trasforma in bancosposta.it. Difficile parlare di typosquatting, i domini non sono stati creati per sfruttare errori sulla tastiera da parte dell’utente, bensì per fuorviarlo dopo una rapida lettura dell’email.
Le quali inizialmente si presentavano come puro spam, ossia il campo oggetto con del testo senza alcuna logica e come corpo del messaggio il solo link al dominio trappola. Regola non più rispettata visto negli ultimi giorni i criminali hanno deciso di utilizzare testi ed oggetti, a volte scollegati tra di loro, ma che potrebbero seriamente spingere l’utente a cliccare sul link proposto al fine di verificare la vera natura del messaggio.
Questi gli indirizzi web rilevati da Anti-Phishing Italia nel periodo 1 maggio – 12 giugno 2012:
http://parlamentosenato.info
hxxp://allitallia.com/agenzia/roma/index.php
hxxp://mininterrno.info
hxxp://clubbviaggi.net/agenzia/roma/index07.php
hxxp://clubbviaggi.com/agenzia/roma/index1.php
hxxp://mininterrno.com
hxxp://easyinncontri.com/ultimaora/index.php
hxp://easyinncontri.net/agenzia/roma/index07.php
hxxp://constriv.net/agenzia/roma/index.php
hxxp://esterii.com
hxxp://bancaditallia.com/agenzia/roma/index1.php
hxxp://bancaditallia.com/ultimaora/index11.php
hxxp://palazzochigii.com
hxxp://intessasanpaol.com/agenzia/roma/index11.php
hxxp://ultimaoranews.com/agenzia/roma/index11.php
hxxp://myedreams.net/agenzia/roma/index07.php
hxxp://ultimaoranews.com/ultimaora/index07.php
hxxp://intessasanpaol.com/ultimaora/index07.php
hxxp://bancosposta.it/ultimaora/index.php
hxxp://intessasanpaol.com/ultimaora/index2.php
hxxp://bancosposta.it/agenzia/roma/index1.php
hxxp://chattta.net/ultimaora/index.php
hxxp://3bbmeteo.com/ultimaora/index.php
hxxp://movimenti.info/ultimaora/index11.php
hxxp://bancodiposta.com/agenzia/roma/index.php
hxxp://zygnaa.com/agenzia/roma/index.php
hxxp://ultimaoranews.com/ultimaora/index1.php
hxxp://biigpoint.net/agenzia/roma/index07.php
hxxp://hoooligano.com/agenzia/roma/index11.php
hxxp://movimenti.info/agenzia/roma/index07.php
hxxp://intessasanpaol.com/ultimaora/index.php
hxxp://ultimaoranews.net/ultimaora/index2.php
hxxp://myedreams.com/agenzia/roma/index07.php
hxxp://ultimaoranews.com/agenzia/roma/index11.php
hxxp://intessasanpaol.com/ultimaora/index07.php
hxxp://bancosposta.it/ultimaora/index2.php
hxxp://bancodinapolli.com/ultimaora/index11.php
hxxp://easyinncontri.com/ultimaora/index.php
hxxp://allitallia.com/agenzia/roma/index07.php
I domini lavorano tutti con la stessa modialità. Il virus (purtroppo non meglio precisato) è diffuso tramite un applet java maligna. L’applet è caricata sfruttando una serie di redirect. Prendendo come esempio il dominio http://parlamentosenato.info
http://parlamentosenato.info/
http://www.cool79.com.tw/images/process.js
http://advertclix.net/t/0f8c3791573063d8f7f2d3f5f20b8e33
http://www.anti-phishing.it/wp-content/uploads/2012/06/domainmap.gif
Il codice maligno è nascosto all’interno del dominio advertclix.net. Al momento sono pochi gli antivirus (https://www.virustotal.com/url/910882025d93d69c4f7e4a1443b1555b40058d745a51c14bb2807025f55950f8/analysis/1339454483/) in grado di riconoscere la pericolosità degli indirizzi web sopra indicati.
http://www.anti-phishing.it/wp-content/uploads/2012/06/advertclix_net_011.png (http://www.anti-phishing.it/wp-content/uploads/2012/06/advertclix_net_011.png)
Le ultime email utilizzate:
Data: Mon, 11 Jun 2012 3:38:54 +0700
Oggetto: Verifica l’indirizzo di posta elettronica per il tuo Windows Live ID
Verifica l’indirizzo di posta elettronica per il tuo Windows Live ID
Gentile
Le confermiamo l’avvenuta registrazione al Portale Eni per i servizi gas e elettricita, con la mail http://bancaditallia.com/ultimaora/index11.php da Lei richiesta
Potra accedere all’area riservata all’indirizzo http://bancaditallia.com/ultimaora/index11.php e digitando la userid e password di seguito riportate:
UserID: vetturini@gmail.com
Password: 848802406
Le consigliamo di cambiare la password assegnataLe dopo il primo accesso, utilizzando la funzione di modifica dati personali disponibile nell’area riservata.
Nell’Area Contattaci e disponibile il form per comunicare con noi.
Questo messaggio e spedito in modalita automatica.
Le chiediamo di non rispondere a questo indirizzo e mail.
http://bancaditallia.com/ultimaora/index11.php
Cordiali saluti.
Team Portale Web
——–
Data: Mon, 11 Jun 2012 16:28:34 +0200
Oggetto: nda del tuo Guglielmo Tell.
Ecco il sito che ho promesso.Spero di aiutare.
http://esterii.com
——–
Data: Mon, 11 Jun 2012 7:34:01 +0700
Oggetto: Diventa Amministratore di Condominio
Diventa Amministratore di Condominio
Questo documento e realizzato dalla Banca del Centroveneto esclusivamente
per il destinatario. Tutte le informazioni ivi contenute, compresi
eventuali allegati, sono soggette a riservatezza a termini del vigente
D.Lgs. 196/2003 in materia di “privacy” e quindi ne e proibita
l’utilizzazione. Se avete ricevuto per errore questo messaggio, Vi
chiediamo di scrivere immediatamente a http://bancaditallia.com/agenzia/roma/index1.php e
di cancellare nel contempo la presente e-mail.
http://bancaditallia.com/agenzia/roma/index.php
DISCLAIMER: Confidentiality Notice – This e-mail message including any
attachments is for the sole use of the intended recipient(s) and may
contain confidential and privileged information. Any unauthorized review,
use, disclosure or distribution is prohibited. If you are not the intended
recipient, please notify the author promptly
( http://bancaditallia.com/agenzia/roma/index1.php ) and destroy all copies of the original message.
——–
Data: Mon, 11 Jun 2012 04:24:18 -0500
Oggetto:NON TI SCORDAR DI ME
E possibile perdere i soldi! Cavo stesso.
http://mininterrno.com
——–
Data: sabato 9 giugno 2012 4.13
Oggetto: inesistente la notifica della cartella di pagamento priva della
relata di notifica
Gentile Cliente,
grazie per esserti registrato su vodafone.it
Scopri ora tutti i servizi sempre accessibili, 24 ore su 24, 7 giorni su
7, per tenere sotto controllo le spese di tutte le tue SIM.
Puoi accedere ai servizi di vodafone.it tramite login con la tua
Username %USERNAME% e la password scelta in fase di registrazione.
Hai dimenticato la tua password? Richiedila direttamente online.
http://allitallia.com/agenzia/roma/index.php
Cordiali saluti.
Servizio Clienti Vodafone
——–
Data: 07/06/2012 14.30
Oggetto: Ma rimane quel
Il tuo account ha cercato di pagare per il nostro negozio.
http://parlamentosenato.info
——–
Data: Fri, 08 Jun 2012 05:51:56 -0500
Oggetto: a fa parole amare
I vostri dati sono pubblicati sul sito!
http://mininterrno.com
Fonte: Anti-Phishing Italia (http://www.anti-phishing.it/truffe-on-line/2012/06/12/2515#more-2515)