Qualcuno avrà già notato in
post passati quanto possano interessarmi casi di phishing al fine di carpire informazioni sulle metodologie di attacco e le vulnerabilità sfruttate per metterli in atto. Nell'articolo passato mi sono spinto ad un livello di analisi alquanto superficiale mentre questa volta credo di aver assistito ad una violazione completa del sistema.
La mia indagine parte da una mail sospetta proveniente da un presunto servizio di
poste.it che in oggetto mostrava il seguente messaggio a caratteri cubitali: "
PROTEGGERE LA VOSTRA PAROLA D'ACCESSO".
Navigando tra le cartelle del link presente in email, prelevo un .zip denominato bancopostaonline.poste.it.zip; effettivamente il phisher sembra molto organizzato: gli basta depositare l'archivio nella macchina vulnerabile per attivare in pochi istanti un sito fraudolento. La funzionalità più ingegnosa sta nel codice php, cuore del sito fake; la coppia username/password inserita dalla vittima non viene "salvata" in locale al sistema violato, ma attraverso determinate classi PHP, viene spedita in tempo reale ad un indirizzo email specifico ( buburuza222@gmail.com ) che suppongo appartenga al phisher. Si è testimoni così di un vero e proprio Man-in-the-middle; la vittima si trova in effetti autenticato al portale delle poste, ma non sa che nel frattempo le credenziali sono state sniffate ed inviate a terzi.
Continuando l'analisi, noto come è accaduto nel passato che il phisher ha ottenuto accesso alla macchina Linux mediante la php shell
C99; per chi non lo conoscesse, questo tool permette di amministrare via web un sistema. E' in grado tra le tante cose di killare processi di sistema, effettuare il binding delle porte TCP associandole a console di sistema ecc.. Inoltre è presente un ulteriore tool di amministrazione che figura sotto il nome di
Q-MoNoR6.php e che risulta essere in realtà una
r57Shell. Diversi altri file popolano il file system tra cui
BOT IRC e bouncer. In effetti l'autore si è preoccupato di nascondere le informazioni all'interno di questi file in codifica ESADECIMALE (non ho voluto approfondire l'analisi di questi file; se qualcuno fosse interessato può
contattarmi).
Sfortunatamente il phisher è stato più veloce di me: ha cancellato dal sistema l'archivio rendendo vane ulteriori ricerche. Dopo questo articolo notificherò l'accaduto all'amministratore del sistema.
Da questi avvenimenti è facile intuire quando sia complicato sconfiggere il fenomeno del phishing; in effetti il proprietario dello spazio web, è ignaro di cosa sia accaduto sul proprio sistema anche se comunque risulta il diretto responsabile. In allegato uno screenshot che ho dovuto offuscare per motivi di sicurezza.
alle 17:17
jetset
Beh, io semplicemente inserisco come username vostropadresisbattelepecore e come password vostramadreèunatroia. Credi che riusciranno ad entrare in bancoposta? ;-))