Feeds:
Posts
Comments

Posts Tagged ‘Atrivo’

Il cigno e la talpa

Posted in Spam & dintorni, tagged , , , on 12 November 2008| 1 Comment »

Nonostante il titolo zoofilo, sempre di spam si parla.

L’aumento sostanzioso nella quantità di spam rilevato nel corso degli ultimi giorni, quale che ne fosse la ragione, pare essere stato una sorta di “canto del cigno” di una botnet che forse sapeva di avere i giorni contati.

Schiaccia la talpa!

Schiaccia la talpa!

Partiamo dai fatti: come visibile qui accanto, nella serata di ieri la quantità di spam ha subìto una drastica riduzione, portandosi a valori (meno del 70% del traffico complessivo) che non si vedevano oramai da parecchio tempo.

Questa osservazione, apparentemente, non è un fenomeno locale, ma è stata riscontrata in maniera sostanzialmente contemporanea da praticamente tutti gli osservatori. La causa più probabile apparirebbe essere la chiusura di McColo Corp., hosting provider con sede nella California del Nord (curiosamente, come Atrivo), additata come una delle reti con la maggiore concentrazione di attività di controllo di botnet, e dalla cui rete, secondo le stime degli addetti ai lavori, veniva orchestrato l’invio di quasi 3/4 dello spam che giornalmente vediamo passare.

Nel perenne gioco di “schiaccia la talpa” tra i buoni e i cattivi, McColo è stata disconnessa, e con ciò le botnet ivi controllate parrebbero essersi fermate.

Per poco. Godiamoci la quiete, perchè tanto è certo che in capo a poche ore le attività riprenderanno altrove, come sempre è accaduto finora…

Read Full Post »

Dai registrar di phish ai phish di registrar

Posted in Spam & dintorni, tagged , , , , , , , on 30 October 2008| Leave a Comment »

A pesca

A pesca

Alcune settimane fa parecchi appartenenti alla “comunità antispam” hanno avuto modo di gioire a seguito della chiusura totale dei peering che fornivano connettività ad Atrivo/Intercage, base di svariate delle attività criminali più pervasive in rete, secondo la tracciatura di tali attività effettuata da Spamhaus.

A breve distanza da questo evento avviene, da parte di ICANN, la terminazione del ruolo di registrar per Estdomains. Estdomains è (o, oramai, è stato, si spera) registrar legato a filo doppio con Atrivo/Intercage e con le attività criminali che sulla rete di Atrivo avevano base, e riguardanti frodi, phishing, riciclaggio di denaro, distribuzione di malware ecc.

Apparentemente la sparizione di un registrar connivente ha aperto un buco nella rapida disponibilità di risorse dei criminali della rete: niente nuovi domini significa maggiore difficoltà di proseguire nella conduzione di strutture fast-flux. Cosicchè assistiamo, in queste ore, a due fenomeni correlati a ciò: da un lato, lo spostamento di svariate reti fast-flux che usualmente utilizzavano gTLD (registrati, appunto, per tramite di Estdomains) in direzione del ccTLD cinese (notoriamente molto “di manica larga” e quindi facilmente abusabile e abusato); dall’altro, l’inizio di fenomeni di phishing mirati ad appropriarsi delle altrui credenziali di accesso a registrar.

D’altra parte, se non puoi ottenere la registrazione di nuovi domini “con la tua faccia”, non vi è nulla di più immediato di farlo con la faccia di qualcun altro. Soprattutto se di mestiere fai altrettanto con i conti in banca.

Per ora, gli avvistamenti più masicci riguardano phishing in direzione di account Enom

http://www.enom.com.sys52.net
http://www.enom.com.sys82.net
http://www.enom.com.com94.net
http://www.enom.com.sys52.net
http://www.enom.com.com72.biz

…ma già qualche avvistamento si è avuto anche per altri registrar:

http://www.networksolutions.com.com21.asia

Quindi una nota ai naviganti: oltre alle false-mail dalla vostra banca, badate bene anche alle false mail dal vostro registrar…

Read Full Post »

%d bloggers like this: