giovedì 29 novembre 2007

Tutti a caccia di RBN (russian business network)

Sembra finalmente che il problema della cybercriminalita' russa stia venendo prepotentemente a galla e il numero di articoli e blog che si occupano di questa piaga cresce rapidamente.

In particolare ci sono pezzi sul washington post, l'economist , il guardian.

N.B. RBN è sostanzialmente quello che io ho definito (per quelli che leggono questo blog)
l'infame gang russa/ucraina CoolWebSearch/gromozon/estdomains/intercage/inhoster/rbn ecc.


Qui sotto potete trovare uno studio molto approfondito e alcuni articoli su questi simpaticoni.
Ho cercato fare un collage per permettere di avere una visione piu' chiara di quello che sta avvenendo sul web:

http://www.bizeul.org/files/RBN_study.pdf

http://news.independent.co.uk/sci_tech/article3201842.ece

Mi sembra che in questo articolo ci sia una inesattezza si parla di panama per i server di RBN
Ma in realta' i server che dal whois risultano a panama sono fisicamente in Russia


http://www.guardian.co.uk/technology/2007/nov/15/news.crime

di questo articolo sottolineo un passaggio:

According to experts from Team Cymru, a research group specialising in internet crime, the Russian firm is linked to around 60% of all cybercrime.
secondo gli esperti di team Cymru, un gruppo di ricerca specializzato nella criminalita' su internet, l'azienda russa è collegata al 60% di tutto il cybercrime



http://www.theinquirer.net/gb/inquirer/news/2007/11/08/alleged-russian-crime-hosting

altro passaggio che vale la pena sottolineare che è un'amara riflessione:

"The Romans built these roads to access the vast areas they had conquered. But, in the end, these same roads led to Rome's downfall"

I romani (gli americani) hanno costruito queste strade (internet) per accedere alle vaste aree che hanno conquistato. Ma alla fine le stesse strade hanno condotto alla caduta di Roma (cybercriminalita')


alcuni articoli di punto informatico:


infine consiglio la lettura del blog

http://rbnexploit.blogspot.com/
Pubblicato da alle Nessun commento:

sabato 17 novembre 2007

Un zlob al giorno toglie l'antivirus di torno

Faccio un rapido post per segnalare ancora una volta quanto siano poco efficaci gli antivirus che hanno ben poche possibilita' di spuntarla contro gli attuali cyber criminali.
In particolare ho potuto notare la rapidità con cui vengono cambiati i malware su alcuni siti.
Non si fa a tempo a mandare un virus per l'individuazione che immediatamente dopo c'è una variante che non viene identificata.
Nello specifico alludo a virus della famiglia Zlob.



Vorrei anche segnalarvi questo blog che ne sta fecendo un bell'elenco:

http://peki.blogspot.com/

Indovinate un po' dove sono ospitati e da chi è stato registrato il dominio? :-)
Chi legge questo blog di sicuro non sara' sorpreso.


Work in progress........

Ulteriori approfondimenti per quanto riguarda il massiccio uso di siti civetta *.cn (cambia il dominio ma i farabutti sono sempre gli stessi) li potete trovare qui:

http://sunbeltblog.blogspot.com/2007/11/breaking-massive-amounts-of-malware.html
Pubblicato da alle Nessun commento:

giovedì 15 novembre 2007

Kaspersky Antivirus perde efficacia?

Velocissimo post per mettere l'accento su alcuni problemi di aggiornamento delle basi virali del famoso ed efficiente antivirus russo che ho riscontrato in questi giorni. La velocita' di analisi dei malware e il conseguente aggiornamento delle basi virali è da sempre stato un punto di forza di kasperskylab ma ultimamente ho potuto verificare che questa caratteristica sta venendo meno.
Facciamo 2 esempi pratici con 2 nuovi malware:

Il primo é quello che alcuni AV definiscono Trojan:OSX/DNSChanger.AT o OSX/RSPlug.A
ovvero spazzatura per Apple OSX



Ho mandato il file a Kaspersky circa 15 giorni fa e ho ricevuto risposta, 24 ore dopo, che il file era infetto e sarebbe stata inserita la firma nell' aggiornamento successivo.

Stessa cosa per il file che un analista della loro societa' definisce

Trojan-Downloader.Win32.Delf.cyb

Si tratta dell'n-esimo falso codec video targato Inhoster (Ucraina) descritto in questo post
su castlecops.

http://www.castlecops.com/p1022350-Nasty_codec_iedefender.html



Attuamente nessuno dei 2 virus sono rilevati dall'AV cosa che non mi era mai capitata prima dopo che avevo ricevuto mail di conferma.
Non si capisce davvero questo ritardo nell'update delle basi che di solito è fulmineo.
Forse i problemi tra i coniugi kaspersky stanno portando ad un ridimensionamento dell'organico della societa'?
Difficile dirlo.
Aspettiamo i nuovi test per trarre qualche conclusione ma anche l'esperienza personale ha un peso determinante per la scelta di un prodotto.
La cosa che vorrei è che ci fosse finalmente una societa' AV italiana di grande livello
che possa competere con i giganti internazionali, visto che ormai molti paesi europei ne hanno una.
Questo sarebbe utilissimo nel caso in cui ci fossero attacchi mirati verso il nostro paese.
I tempi di reazione sarebbero in quel caso decisamente minori.

In questa pagina ci sono le nazionalita' delle principali societa' antivirus del mondo

http://av-tests.com/index.php?sub=viren&menue=5&lang=0

come potete vedere manca l'Italia

Aggiornamento:

i virus vengono finalmente riconosciuti da kaspersky 7 come:

Trojan.Mac.Dnscha.dmg
Trojan-Downloader.Win32.Delf.cyb
Pubblicato da alle Nessun commento:

martedì 13 novembre 2007

Gli sfotto' di callsolutions

Certo che oltre ad essere truffato uno debba essere anche preso per il sedere è veramente
troppo :
Qui potete vedere un bel banner pubblicitario della famigerata societa' russa/ucraina (societa' non è la parola giusta, meglio dire cybercriminalita') che sta dietro al rootkit Dialcall, ovvero uno di quei malware studiati appositamente per il traffico italiano.
Callsolutions si occupa solo del nostro paese.

(meglio andarci con la sandbox abilitata non si sa mai :-) )



hxxp://docentdesign.com/banner/berlusconi.swf


Il sito dei webdesigner di callsolutions




Il sito su cui si trova il banner (registrato dalla solita ESTDOMAINS, INC.) è un server
di UAONLINE (Ucraina online) e si trova in UK. Sul range appartente a questa societa'
potete trovare moltissima spazzatura.

Forse ce lo meritiamo se questi rubagalline da 2 soldi ci prendono di mira, visto che facciamo di tutto per non tutelare gli utenti del web nel nostro paese.
Pubblicato da alle Nessun commento:

sabato 10 novembre 2007

"Sondaggione semiserio"

Per spezzare un po' ripropongo il sondaggione per sapere cosa ne pensate di questo blog :-)

Pubblicato da alle 3 commenti:

giovedì 8 novembre 2007

Ancora sul riciclaggio di denaro sporco

Torno velocemente sull'argomento false offerte di lavoro per riciclare denaro di provenienza illecita. E figuriamoci se non c'è qualche fesso di italiano che mette a disposizione il suo conto corrente per spedire i soldi in Russia, Cina o India

http://www.anti-phishing.it/news/articoli/news0711072.php



Aveva messo a disposizione il proprio conto corrente per ricevere denaro sottratto attraverso il phishing e reinviarlo ai propri complici in Russia; adesso un 59enne residente a Frosinone è stato denunciato dalla Polizia Postale di Cremona con l’accusa di riciclaggio di denaro.

L'uomo è accusato di essersi reso complice, tra l'agosto e il settembre scorsi, di phishing, in italiano “spillaggio di dati sensibili”, un' attività truffaldina che sfrutta una tecnica di ingegneria sociale ed è utilizzata per ottenere l'accesso a informazioni personali o riservate con la finalità del furto di identità mediante l'utilizzo delle comunicazioni elettroniche, soprattutto messaggi di posta elettronica fasulli o messaggi istantanei, ma anche contatti telefonici.

Grazie a questi messaggi, l'utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc. Il 59enne, che fungeva da prestanome, era riuscito ad entrare nei conti correnti di alcuni cremonesi, adescati con messaggi “trabocchetto”, che sembravano provenire dai propri istituti di credito, racimolando una somma complessiva di 20mila euro.

L'uomo, intestatario di un conto corrente, aveva ritirato il denaro trattenendosi una percentuale e il resto lo aveva inviato in Russia ai suoi complici, rimasti per ora senza nome. Gli agenti su mandato della Procura di Repubblica di Cremona, hanno anche effettuato una perquisizione a Frosinone in casa del 59enne, trovando e mail, ricevute di prelievo e quant'altro.Il suo computer è stato sequestrato.

Vittime di questo ingegnoso raggiro, dunque, molti cremonesi che hanno perduto i propri soldi. «Le denunce» ha sottolineato la dirigente Lombardi, «sono arrivate numerose sui tavoli degli agenti della polizia postale di Cremona agli inizi di settembre di quest'anno». In un caso, in particolare, un cremonese è stato derubato di tutti i risparmi che aveva sul conto.


Ma dico io invece di farci vedere le chiappe di qualche sgallettata da 2 lire in TV perche' non informano le persone dei pericoli che si corrono sul web?


Per quanto riguarda invece il sito i-western.com mi pare che il numero di italiani che ci sta cascando cresca di giorno in giorno.
Sono gli unici che nel forum scrivono il loro indirizzo (come avevo gia' mostrato nel post precedente).



In questo momento sono almeno 10.Che tristezza.
Pubblicato da alle Nessun commento:

martedì 6 novembre 2007

L'infame mondo dei programmi di affiliazione

Nuovo post per affrontare un tema che avevo gia' trattato tempo fa.
I programmi di affiliazione che alcuni criminali informatici offrono ai webmaster di tutto il mondo.
Di cosa si tratta?
Molto semplice: questi signori pagano (o meglio dichiarano di pagare, perche' di certo sono le persone meno affidabili che esistano sul web) in base al numero di installazioni fraudolente che riescono ad ottenere.

In sostanza si tratta di inserire un loro codice nel nostro sito (in genere si tratta di un iframe o un javascript)
in maniera tale che non appena un visitatore accede viene immediatamente infettato con un malware

A quel punto il pc del malcapitato è in balia di questi criminali
che possono

  • rubare dati sensibili come password per conti correnti
  • e numeri di carta di credito
  • utilizzare il pc per attacchi Ddos o per l'invio di spam
  • dirottare la navigazione sul web

Ovviamente sanno quanti soldi possono fare (rubare) attraverso queste infezioni ed in base
a quello hanno un tariffario.

Noi italiani siamo dei polli da spennare molto appetibili (in genere siamo il traffico migliore dopo gli australiani)

Mentre facevo il solito giretto esplorativo su quella porcheria che si chiama Russian Business network utilizzato da tutti i cybercriminali del mondo sono capitato su questo bel sitarello (gia' è sparito)




da qui un link mi ha portato su una pagina che ci offre un meraviglioso elenco di farabutti.




tra questi saltano subito all'occhio i "famosi"

ZangoCash (credo americani)
IframeCash (russi)
KlikRevenue (russi)

in particolare in futuro ci occuperemo di questi ultimi.

Pubblicato da alle 4 commenti:

venerdì 2 novembre 2007

Riciclaggio di denaro sporco

La carenza cronica di lavoro ed il precariato sono condizioni utili a tutta quella serie di truffatori senza scupoli che operano sul web. Mi è sembrata perticolamente interessante una segnalazione di antiphishing.it. Questa volta tutto sembra architettato a regola d'arte e la mail è particolarmente convincente. Tutti i dettagli sono reperibili qui:

http://www.anti-phishing.it/news/articoli/news311007.php
Il nome della falsa società è Infinity Western, raggiungibile dagli indirizzi web i-western.com, infinityw.com e infinitywesternsite.com, la quale esattamente come i suoi predecessori coinvolgerà i malcapitati utente che chiederanno di essere “assunti” in un attività di riciclaggio di denaro sporco punibile ai sensi dell’art.648-bis con un periodo di reclusione tra i 4 e i 10 anni.


L'immagine del sito:



Ho fatto un giretto sul loro forum ed ho trovato gia' nostri connazionali che che hanno abboccato.



Vista la buona qualita' con cui e' stato scritto il testo della lettera direi che si tratta di una organizzazione di italiani e gente dell'est europa (probabilmente rumeni).
I server che ospitano i siti associati sono tutti in Romania.

Attenzione quindi a chi vi chiede di aprire un conto corrente e far transitare del denaro ricompensadovi con una percentuale.
Si tratta di RICICLAGGIO DI DENARO SPORCO (le pene sono anche piuttosto severe)
E' ovvio che questo denaro è di provenienza illecita perche'
se non fosse così una azienda non lo affiderebbe certo ad uno sconosciuto contattato tramite mail spedite a milioni di persone.

Aggiornamento:

il sito è ospitato attualmente dai seguenti server:

87.70.125.106 israele
89.139.121.5 israele
70.234.212.160 USA
77.81.209.197 romania
82.81.112.213 israele
69.230.187.254 USA
89.139.231.221 israele

ed altri italiani si aggiungono al forum (brutto segno)

Aggiornamento 2

i server ospitanti i siti continuano a variare

80.133.192.99 germany
82.78.230.222 romania
87.11.108.92 italia
89.139.173.88 israele
79.114.100.44 romania

Aggiornamento 3

I server contnuano a cambiare un meccanismo dinamico.
Questa è l' n-esima conferma che si tratta di una truffa.
Pubblicato da alle 3 commenti:
Iscriviti a: Post (Atom)