lunedì 30 aprile 2018

Check Point, phishing kit avanzato e pronto uso: fruibile su Darknet


Con l'evoluzione del Web, i tool per poter eseguire il phishing sono diventati sempre più sofisticati. Check Point Research e la società di cyber intelligence, CyberInt, hanno collaborato alla scoperta della prossima generazione di phishing kits, attualmente pubblicizzati sulla Dark Net. A differenza dei precedenti kit composti principalmente da una o due pagine per raccogliere dati personali o finanziari, questo nuovo e avanzato kit di phishing offre molto di più per creare un sito falso più convincente. Gli hacker possono utilizzarlo per preparare il proprio attacco di phishing, gestire il back end e le attività di coding mentre impostano link di reindirizzamento a pagine false e malevoli.

I kit di phishing sono costruiti appositamente per coloro che hanno una conoscenza tecnica inferiore e, in quanto tali, forniscono al cyber-criminale tutto ciò di cui hanno bisogno per effettuare un attacco. Con la barriera ora più bassa, più attori della minaccia possono essere coinvolti, consentendo più attacchi e quindi più potenziali vittime. Come parte di un'analisi congiunta, Check Point® Software Technologies Ltd., principale fornitore di soluzioni di cybersecurity a livello globale, ha collaborato con CyberInt, società di cyber intelligence, per rintracciare il truffatore dietro un nuovo e più avanzato kit di phishing attualmente disponibile in Brasile.

A differenza dei kit precedenti, questo kit appena scoperto rende ancora più semplice l'installazione e un sito Web falso più convincente, rappresentando la prossima generazione nell'architettura di phishing. Creato da un personaggio chiamato "[A]pache", offre a coloro che sono privi di know-how tecnico la possibilità di gestire le loro campagne di phishing per raccogliere dati personali e finanziari dei consumatori ignari. Trovato sulla Dark Net (rete globale nascosta in cui si naviga anonimi), questo kit di phishing si rivolge a coloro che acquistano presso i rivenditori online più diffusi e mira a rubare i dati personali degli utenti e le informazioni della carta di credito.


[A] pache rende molto facile per chi ha poca capacità tecnica di portare a termine il proprio cyber-attacco. Scaricando semplicemente il kit di phishing multi-funzione e seguendo le istruzioni di installazione, non ci vorrà molto prima che un threat actor sia in grado di lanciare la sua campagna. Venduto ad un prezzo tra i 100 e i 300 dollari, è più costoso dei kit standard, il cui prezzo normalmente si aggira tra i 20 e i 50 dollari - alcuni sono addirittura gratuiti. Tuttavia, il kit di [A]pache offre una suite completa di strumenti per i cyber attacchi, che includono un'intera interfaccia backend con cui creare pagine fasulle di vendita al dettaglio convincenti.

Invece di avere solo una pagina di accesso con una richiesta di informazioni personali e finanziarie, l'avanzato phishing kit di nuova generazione [A]pache incorpora intere repliche di noti siti di vendita al dettaglio. Il kit offre una serie di brand conosciuti tra cui scegliere. Le opzioni includono: Walmart, Americanas, Ponto Frio, Casas Bahia, Submarino, Shoptime ed Extra. Poiché la maggior parte di questi rivenditori appartengono al mercato brasiliano, sembra che questo kit sia rivolto a persone con una buona conoscenza del portoghese, anche se sono stati trovati alcuni collegamenti a una campagna di phishing indirizzata agli utenti PayPal negli Stati Uniti.

Al fine di persuadere in modo convincente le loro vittime che stanno acquistando sul sito originale in cui pensano di trovarsi, i truffatori online necessitano quindi di un dominio simile al marchio in oggetto, ad esempio www.walmart-shopping.com. Una volta registrati, sono pronti a distribuire il kit su un host Web supportato da PHP e MySQL. Possono quindi accedere al pannello di amministrazione del kit e iniziare a configurare la loro campagna. Le opzioni di configurazione includono: • Email: selezione dell'indirizzo email per le notifiche di nuove informazioni sul phishing da inviare; • URL: selezione dell'indirizzo sul quale si trova il sito web di phishing;


• Payments: si può scegliere di disabilitare il metodo di pagamento "Boleto Bancário". Ciò costringerà le potenziali vittime a inserire i dati delle loro carte di credito o a visualizzare dettagli falsi sul Boleto. • Product Management: si possono inserire URL di prodotti legittimi dal sito Web del rivenditore di destinazione per l'importazione automatica e configura il prezzo di visualizzazione per attirare gli obiettivi. • Victim Information Management: una volta che le vittime hanno "abboccato" all'esca, le loro informazioni possono essere visualizzate all'interno del pannello di amministrazione, sia per intero che come elenco dei dettagli della carta di credito.

Per semplificare questo processo, [A]pache ha creato una semplice interfaccia utente all'interno del pannello di amministrazione in cui l'agente delle minacce può incollare l'URL del prodotto del rivenditore legittimo e il kit importa automaticamente le informazioni sul prodotto nella pagina di phishing. I truffatori possono quindi visualizzare i loro "prodotti" e modificare i loro prezzi originali. Come ogni negozio online, anche il sito di phishing contraffatto incoraggia gli utilizzatori a essere competitivi, pertanto è consigliabile che i prezzi dei prodotti siano interessanti. Ciò contribuirebbe a motivare i potenziali "clienti" a fare clic sugli articoli e procedere al pagamento.

Ridurre i prezzi troppo bassi, tuttavia, solleverebbe sospetti ai "clienti" affascinati. Inoltre, un trucco consiste nell'elencare prima gli oggetti di valore elevato e desiderati, come gli smartphone, per invogliare potenziali vittime. L'hacker ora è pronto per promuovere il suo sito e portare le sue ignare vittime. Quando i clienti effettuano il click-through dall'e-mail del cyberciminale, dal link dei social media o da qualsiasi altro modo in cui potrebbero inviare traffico, il sito apparirà esattamente come il sito target e i clienti potranno procedere al checkout senza sospetti. A questo punto appare il classico form per l'inserimento dei dettagli di pagamento e consegna.


Anche il kit di phishing di fascia alta di [A]pache viene fornito con una funzione di ricerca automatica post-codice per ulteriore convinzione. Con i dettagli del pagamento inseriti e inviati direttamente al database dell'attore delle minacce, compreso il CVV, il cybercriminale può quindi controllare il pannello di amministrazione del back-office del kit per vedere le informazioni personali e finanziarie della vittima. Nel frattempo, dopo che la vittima ha inserito i dettagli del pagamento, viene loro presentata una notifica che il processo di pagamento non è andato a buon fine. Questo aiuta a convincerli a non essere preoccupati quando il prodotto falso acquistato non arriva.

Il team di ricercatori di Check Point e CyberInt è stato in grado di rintracciare l'autore dietro questo kit di phishing brasiliano e che potrebbe anche essere dietro ad altri kit per le vittime statunitensi. Una volta che un attacco è concluso, i criminali informatici spesso abbattono il falso sito di vendita al dettaglio per ridurre i rischi di essere scoperti. In questo caso, tuttavia, gli esperti della sicurezza informatica hanno trovato un sito personalizzato ancora in uso che restituisce il codice di "errore 404". Questa pagina di destinazione unica è stata creata da un web designer che probabilmente non è a conoscenza del fatto che i lavori vengano utilizzati per scopi dannosi.

Da questa pagina di destinazione i ricercatori  sono riusciti a trovare l'attuale kit di phishing insieme al suo pannello di amministrazione. Questo ha portato al prossimo indizio per scoprire l'identità di [A]pache. Analizzando il codice del kit, gli esperti hanno scoperto che [A]pache ha incluso il suo handle, "Douglas Zedn", nel pannello di controllo del sito di phishing di Walmart. Questo è stato un errore o la persona ha cercato qualche tipo di riconoscimento per il suo lavoro. Tramite diverse ricerche si è giunti alla conclusione che ha utilizzato questo stesso nome per un account del social media Steam, piattaforma per la distribuzione di giochi e altri software presenti nelle librerie digitali.


Con un altro passo sono stati in grado di rintracciare "Douglas Zedn" nel suo handle di Twitter, ora protetto, per trovare la persona reale dietro gli avatar. Con alcuni report che affermano che il 91% degli attacchi informatici e le violazioni dei dati iniziano con un'e-mail, il phishing rimane una costante minaccia per il furto di informazioni finanziarie, proprietà intellettuale e persino interferenze con le elezioni. Un recente sondaggio Check Point ha rivelato che il 65% delle organizzazioni è stato vittima di tentativi di phishing in un contesto aziendale. Per questo motivo, sia i consumatori che le imprese devono assicurarsi di disporre delle protezioni più recenti da tali minacce.

Scoprite come Check Point® SandBlast Agent identifica e impedisce l'accesso ai siti di phishing ingannevoli in tempo reale utilizzando l'analisi dinamica e l'euristica estremamente accurata. Per impedire che il malware entri in una rete, organizzazioni e consumatori hanno bisogno delle tecnologie "Gen V" per tenere a bada gli impostori del retail. La piattaforma Argos™ di CyberInt e i servizi di rilevamento e risposta consentono ai propri clienti di combattere e rispondere alle minacce informatiche avanzate che normalmente passerebbero inosservate ai controlli di sicurezza standard, proteggendo al contempo i marchi, le risorse digitali e i clienti. CyberInt (www.cyberint.com) è stato riconosciuto da Gartner e Forrester come un innovatore nella protezione delle attività digitali.

Check Point Software Technologies Ltd. (www.checkpoint.com) è il più grande fornitore mondiale specializzato nel campo della sicurezza, offre soluzioni leader di mercato e protegge i propri clienti, con il più elevato tasso di rilevamento di malware e di altri tipi di attacchi informatici sul mercato. Check Point fornisce un'architettura multilivello di sicurezza per difendere il cloud, i network e i dispositivi mobili delle aziende, oltre a offrire un unico sistema di gestione della sicurezza più completo e intuitivo possibile. Check Point difende più di 100.000 organizzazioni di tutte le dimensioni. E' possibile scaricare l'analisi congiunta "Check Point-CyberInt" completa del kit avanzato di phishing Next Generation [A]pache da questa pagina. Fonte: Check Point Research - Via: Team Lewis


Nessun commento:

Posta un commento