Exploit su una vulnerabilita' dei PDF massacreranno milioni di computer italiani?

IMPORTANTE!!

E' noto da tempo che le versioni 8 e precedenti del famoso software di adobe, acrobat reader contengano una vulnerabilta' piuttosto seria. Ovviamente questa notizia non poteva non fare gola a molti crimininali informatici ed in particolare ai nostri carissimi amici russi di RBN.

Una notizia riportata dal seguente sito è davvero molto preoccupante e ne riporto il testo integralmente:

http://www.enews20.com/news_Russian_Hacker_Team_Responsible_for_Attacks_Using_PDF_Files_03356.html

By Daniel Nicholas 00:09, October 28th 2007

A security researcher has recently reported that the ongoing attacks using malicious PDF files are caused by one of the most notorious Russian hacker groups, called the Russian Business Network of RBN. So, according to Ken Dunham, iSight Partners Inc.’s director of response, it is the Russian Business Network’s members that are behind the recent attacks that use malware-armed PDF attachments. These malicious PDF files have started to appear in the users’ email accounts’ inboxes starting this Tuesday and they have already started to succeed in infecting the Windows systems, which have been their initial targets. This type of attack is installing on the infected computer system a pair of rootkit files that “sniff and steal financial and other valuable data”, as Ken Dunham has said. The computers could easily get infected because the Russian cybercrimilas use PDF documents that seem to be quite all right. However, the corrupted PDF files are being sent through spammed emails and arrive with filenames such as YOUR_BILL.pdf, BILL.pdf, STATEMENT.pdf or INVOICE.pdf The Russian hackers have exploited the “mailto:” protocol vulnerability that has been disclosed by the U.K.-based security researcher Petko Petkov. The users have just to open the attacking PDF file, and the Trojan called Pidief.a is already launched and knocks out the Windows firewall. Pieces of malware are downloaded the computers is compromised. This is why this represents a highly dangerous type of attack and we all should be careful with the PDF spamm email.

Considerando il numero enorme di pc che contengono versioni di acrobat reader non aggiornate la situazione potrebbe diventare ben presto catastrofica.

Io stesso ho appena effettuato un controllo con secunia software inspector e sono risultato vulnerabile:





AGGIORNATE IMMEDIATAMENTE ACROBAT READER!



Su segnalazione di TNT cito questo interessantissimo articolo.

http://www.eweek.com/article2/0,1895,2209010,00.asp

Di questo scritto metto in evidenza un passaggio:

a group affiliated with the Gromozon Trojan and the LinkOptimizer Trojan attacks started to spread their own brand of malware using a variation on the PDF exploit, he said.

Using names like "report.pdf" and "debt.2007.10.31.816537.pdf", the PDF file installs several different pieces of malware, including the Zeus variant of the PRG Trojan. It uses anti-debug/anti-VMware tactics to evade analysis and slowly downloads other files to the infected host via BITS (Background Intelligent Transfer Service), a lightweight HTTP-based protocol that is usually allowed through firewalls because it's what Microsoft Update uses, Jackson said.

The new PDF malware is communicating back to servers that are not on the Russian Business Network, but instead have addresses in Malaysia, although SecureWorks is detecting data on the malware that's in Russian.

Forse siamo alla vigilia di un nuovo devastante attacco della portata simile se non superiore a quella di gromozon/linkoptimizer da parte dei soliti noti

Il paese dei balocchi per i truffatori con dialer

Giro una notizia così come l'ho appresa stamattina da antiphinshing.it ed è talmente interessante che ne copio integralmente il testo:

Sono impressionati i numeri che emergono dall’ultima operazione condotta dalla Polizia Postale che ha permesso i interrompere una maxi frode con numeri a valore aggiunto 899 compiuta esclusivamente da due persone ed in grado di fruttare ben 6 milioni di euro.

Un cittadino italiano e uno russo, sono stati denunciati all'autorita' giudiziaria della Spezia con l'accusa di aver truffato 67 mila utenti per un importo complessivo di 6 milioni di euro.

Le indagini, durate sei mesi, fa sapere una nota della polizia postale, che ha curato l'inchiesta, sono partite dalla denuncia di 74 cittadini spezzini che hanno subito una serie di truffe perpetrate attraverso la numerazione 899.

I cittadini avevano ricevuto fatture telefoniche esorbitanti per connessioni internet abusive ed occulte verso le citate numerazioni. I truffatori erano stati particolarmente abili nell'uso delle tecnologie informatiche, sfruttando la vulnerabilita' dei sistemi operativi dei computer degli utenti che a loro insaputa venivano dirottati sui numeri a pagamento.

Durante le indagini sono state effettuate perquisizioni nella sede legale di una societa' di San Marino e nell'abitazione di un cittadino di Rimini, dove si trovavano i server, che sono stati sequestrati.

I particolari dell'operazione, saranno resi noti domani mattina alle 11, (26 ottobre ndr.) durante una conferenza stampa nella sede della Polizia Postale e delle Comunicazioni della Spezia. [Tratto da AGI]

Fonte: Anti-Phishing Italia

Per contrastare queste frodi basterebbe una leggina di 3 righe, ma tutti guadagnano con questa spazzatura, ministero delle comunicazioni compreso.

Nuovi alleati anti CWS/Gromozon

Faccio come al solito un velocissimo post per segnalare un blog che mi pare abbia preso sul serio la lotta agli amici russi/ucraini di cui ci siamo occupati su questo spazio:

http://rbnexploit.blogspot.com/

Il termine per definire i simpaticoni è RBN (Russian Business Network)

In verita' potremmo usare mille definizioni diverse ma grossomodo la gente e' sempre quella li'

Alcuni nomi della galassia che io definisco Coolwebsearch/Gromozon:

(gromozon/linkoptimizer è il nome del virus che ha causato moltissimi problemi quasi esclusivamente in Italia)

• RBN
• Estdomains
• atrivo/intercage
• cernel
• Inhoster
• NETCATHOST
• Klikrevenue
• UAONLINE
• Beyond The Network America
• Too Coin Software Limited
• Upl telecom CZ
  
• Pilosoft
• MEDIADAT-MOLDOVA
• DATAPOINT-NET
• RUSONYX-NET
• NETHOUSE-MOSCOW
• AKIMON-NET RBN
• LINO-NET Israele
• ecc.

Un altro sito che mi sembra particolarmente utile è :

http://www.malwaredomainlist.com/mdl.php

Falsi programmi - Rogue applications

Solito post rapidissimo per mostrare una serie di domini graficamente ben fatti che contengono applicazioni malevole. Si tratta nello specifico di

• falsi codec video
• falsi client per bit-torrent
• falsi download manager
• falsi tool di compressione
• falsi mediaplayer

Quindi come potete vedere i creatori di malware ampliano la tipologia di programmi dai falsi antispyware/antivirus a una serie di utility di vario genere.


1) 3wplayer.com
2) bitdownload.org
3) bitgrabber.com
4) bitroll.com
5) c4dl.com
6) cash4downloads.com
7) cv.netpumper.com
8) download.netpumper.com
9) get-torrent.com
10) inside.3wplayer.com
11) netpumper.com
12) playon.play3w.com
13) plugindl.com
14) torrent101.com
15) torrentq.com
16) torrentsoftware.org
17) winzix.com
18) zaebb.play3w.com
19) divoplayer.com

i siti sono tutti sull'ip 69.72.144.122 mentre i file sono ospitati su 67.15.107.166.



il file viene rilevato da kaspersky 7 come Trojan.Win32.Obfuscated.en

Siti civetta sempre piu' ingannevoli

Prendo spunto da una segnalazione che aveva fatto tempo fa GmG per mostrare una serie di siti particolamente ingannevoli ospitati da un altro dei famigerati hoster dell'allegra compagnia di infamoni russi di cui si occupa questo sito.
La societa' è UPL telecom s.r.o. e si trova in repubblica ceca. (qui ho trovato solo immondizia)
Il range si trova da tempo in blacklist pero' il numero di siti e la particolare cura che hanno messo per infettare come al solito SOLO utenti italiani merita una certa attenzione.

Ecco alcuni esempi:

acquedotto.info
adusbef.info
agenziaspazialeeuropea.info
chemioterapia.info
giochi-olimpici.info
stazionespaziale-internazionale.info
ecc.






il numero dei domini registrati dovrebbe essere dell'ordine delle migliaia e moltissimi non sono ancora attivi.

Una lista abbastanza completa l'ho postata sul forum sicurezza di hwupgrade

http://www.hwupgrade.it/forum/showthread.php?p=19127554#post19127554


come potrete vedere nelle immagini non si tratta della solita accozzaglia di keyword senza nessuna correlazione ma di sitarelli con informazioni anche utili.

Diamo un'occhiata al codice senza andare ad approfondire troppo:
sul fondo della pagina c'è il solito iframe malevolo e un "contatore".



qui c'è il seguito



Ovviamente questo punta un server che attraverso exploit tenta di farci scaricare un malware.

Le tecniche di infezione sono sempre le stesse.


AGGIORNAMENTO ore 22:30 16/10/07


all'interno del codice delle pagine hanno aggiunto



questa stringa di codice per pubblicizzare l'n-esimo falso antispyware.




sull'ip 203.121.79.55 (malesia)

ci sono anche questi altri falsi antimalware

1) secure.isoftpay.com
2) ISoftPay.Com Secure Order Page
3) ISOFTPAY.COM" gping="&POS=10&CM=WPU&CE=3&CS=AWP&SR=3&sample=0
4) magicantispy.com
5) magicantispy.com" gping="&POS=16&CM=WPU&CE=9&CS=AWP&SR=9&sample=0
6) malware-alarm.com
7) scanner.spy-shredder.com
8) scanner.xmalwarealarm.com
9) scanner.xspy-shredder.com
10) spy-shredder.com
11) spyshredder-scanner.com" gping="&POS=11&CM=WPU&CE=4&CS=AWP&SR=4&sample=0
12) winxdefender.com

ed anche

Adwareremover2007.com
Drives-cleaner.com
spy-shredder.com
ecc.

IMPORTANTE OSSERVARE L'IMMAGINE SEGUENTE





Domain Name: ISOFTPAY.COM
Registrar: ESTDOMAINS, INC.
Whois Server: whois.estdomains.com

Ci truffano addirittura utilizzando una connessione con protocollo sicuro https che solitamente
garantisce che dietro ci siano aziende affidabili . Estdomains ha ridotto il web ad un immondezzaio.