Analysis Report Besmellah Apple phishing kit
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Analysis Report Besmellah Apple phishing kit
Introduzione alla campagna Gli utenti Apple sono da tempo uno dei bersagli preferiti dai cyber-criminali per le proprie attività di phishing, delle campagne generalmente finalizzate al furto di dati personali e di informazioni bancarie sensibili. Nell’ultimo mese, in particolare, ha destato molto scalpore il caso del Celebrity Gate, ribattezzato anche con il singolare appellativo “The Fappening”. A partire dal 31 agosto scorso, infatti, l’intimità e la privacy di decine di star americane ed internazionali è stata calpestata a più riprese dalla pubblicazione di centinaia di foto “molto personali” prelevate dai rispettivi account iCloud. Secondo Apple, finita subito nel mirino dei media per le presunte vulnerabilità sfruttate dagli attaccanti (in particolare nella funzionalità “find my iPhone”), l’incidente è da ricollegarsi, in realtà, proprio ad attacchi particolarmente mirati, sfruttati per reperire credenziali di accesso o dettagli utili per aggirarle. L’interesse verso gli utenti del colosso di Cupertino è evidenziato altresì dalla presenza di specifici kit di phishing, facilmente reperibili in rete e la cui immediata usabilità permette davvero a chiunque la conduzione di attività potenzialmente molto dannose. In questo contesto, è stata recentemente individuata ed analizzata una nuova attività cyber-criminale, basata sull’utilizzo del kit “besmellah” e perpetrata da un giovanissimo attore interessato agli account e alle carte di credito delle sue vittime. Analisi Lo schema dell’operazione, che coincide con quello del kit “besmellah“, prevede in primo luogo l’invio di un messaggio email fraudolento, apparentemente proveniente dal legittimo account di supporto Apple “Support@Apple.com“. Al suo interno, con il pretesto di presunti problemi tecnici, viene fornito un link che servirà alla vittima per completare il “necessario” step di verifica del proprio account e scongiurare così la chiusura dello stesso. In questo caso l’utilizzo della tecnica di spoofing per quanto riguarda l’indirizzo del mittente rappresenta un dettaglio che può facilmente rassicurare i destinatari abbassandone il livello di attenzione; inoltre è da segnalare l’uso del popolare servizio di abbreviazione degli url “Bitly”, per consentire al link malevolo di bypassare gli strumenti anti-phishing e nasconderne all’utente la reale destinazione . Seguendo il link, la vittima viene reindirizzata verso una pagina contenente il form per l’inserimento delle proprie credenziali che, nonostante la perfetta somiglianza grafica con l’originale, risulta palesemente ospitata in un dominio illegittimo. Tiger Security | Analysis Report | Besmellah Apple Phishing Kit 2
Nel nostro caso si tratta del sito internet di un professionista indiano, certamente compromesso attraverso lo sfruttamento di vulnerabilità note nei CMS di WordPress al fine di caricare al suo interno il kit “besmellah“. Le credenziali inserite vengono subito girate via email all’attaccante, insieme all’indirizzo IP dell’utente, la data e l’ora della compilazione. A questo punto viene mostrato alla vittima un secondo form, all’interno del quale dovranno essere inserite ulteriori informazioni relative all’account, inclusi: nome, indirizzo, numero di telefono, codice postale, numero e Stato di rilascio della patente di guida e dettagli sulla carta di credito (numero, data di scadenza, cvv). Anche in questo caso, la compilazione del form è seguita dall’invio di un messaggio email all’attaccante, dove sono contenuti tutti i dati inseriti e l’indirizzo Ip, stavolta geolocalizzato, del malcapitato utente. La fase conclusiva del processo prevede il reindirizzamento della vittima verso il legittimo dominio Apple itunesconnect.apple.com. Da segnalare infine l’esistenza di un’ulteriore precauzione che va ad incrementare l’efficacia del kit “besmellah“, rappresentata da una blacklist contenente gli indirizzi IP dei più popolari motori di ricerca e degli spider-bot incaricati di rilevare e tracciare anche minacce di tipo phishing. Chart di funzionamento Tiger Security | Analysis Report | Besmellah Apple Phishing Kit 3
Tracciamento Il processo di individuazione del soggetto responsabile della campagna è iniziato attraverso l’analisi del sito compromesso. All’interno della sua architettura, infatti, è stata rilevata la presenza di un archivio zip contenente l’intero kit utilizzato per l’operazione: Analizzando i sorgenti del codice, è stato possibile ottenere l’indirizzo email scelto dall’attaccante per ricevere i messaggi con i dati sottratti alle vittime: Tiger Security | Analysis Report | Besmellah Apple Phishing Kit 4
Effettuando una ricerca tramite Facebook dell’indirizzo ottenuto, è stata riscontrata l’associazione ad uno specifico account: L’analisi del profilo ha permesso infine il reperimento di foto e informazioni personali sul soggetto che ne hanno evidenziato le origini tunisine, la giovane età ed un interesse particolarmente pronunciato per le attività di hacking e spamming. Nello specifico, gli intenti malevoli del ragazzo sono largamente testimoniati dalle iscrizioni a numerosi gruppi di spammer: circuiti ideali per ottenere e scambiare informazioni e strumenti utili alla conduzione di attività cyber-criminali. Tiger Security | Analysis Report | Besmellah Apple Phishing Kit 5
Conclusioni
L’analisi di questa operazione evidenzia ancora una volta la pericolosità del fenomeno phishing, una minaccia
in costante crescita che mette a rischio tanto i privati quanto le organizzazioni. La disponibilità in rete di kit
già pronti e facili da utilizzare, come quello analizzato in questo caso specifico, rappresenta inoltre un forte
incentivo anche per soggetti molto giovani e meno esperti che, attratti dal facile guadagno, finiscono
rapidamente per commettere illeciti e veri e propri reati informatici.
La facilità con la quale è possibile entrare in possesso di questo tipo di strumenti è tale da non poter
comportare altro che un’ulteriore esplosione del fenomeno, che sarà sempre più caratterizzato da
campagne forse meno longeve ma sicuramente più diffuse ed efficaci.
Per contrastare questa condizione, oltre a dover prestare particolare attenzione ai propri servizi, è necessario
implementare policy di sicurezza più restrittive e munirsi, a livello aziendale, di strumenti specifici per la
prevenzione e la difesa delle proprie infrastrutture sensibili.
About Tiger Security
Tiger Security is a leading company specialized in innovative Cyber Intelligence and
Information Security solutions.
Our client base include Public Sector (Governments, Military forces) and Corporates across
the world. In addition, our cutting hedge services and products are used by several European
Research Institutes across continents and represent the state of the art for Cyber Security,
open-source-based solutions.
Tiger Security value proposition fits the wider organisations’ risk management
frameworks, in a context of increased relevance of Cyber Intelligence and Information
Security solutions owing to heightened concerns for more complex, innovative and disruptive
threats actions posed by criminal individuals and organisations.
Tiger Security’s mission is to discover, monitor and track digital threats using a non
conventional, innovative and preventive approach, which result in a very significant
improvement of our clients’ risk profile
Tiger Security | Analysis Report | Besmellah Apple Phishing Kit 6
Tiger Security Srl Piazza Monterosa 33 05018 Orvieto (TR) ITALY web: www.tigersecurity.pro twitter: @tigersecurity Tiger Security | Analysis Report | Besmellah Apple Phishing Kit 7
Puoi anche leggere
