Ma che fine ha fatto Rustock?

Come già fatto notare nel mio riassunto del 2010, i livelli attuali dello spam sono estremamente bassi, rispetto a quelli a cui ci siamo abituati negli ultimi 4-5 anni.

In particolare questo avviene perchè alcune delle botnet più attive nell’emissione di spam si sono zittite; alcune a seguito di takedown, altre per ragioni meno chiare.

Tra tutti esemplare è il caso di Rustock: responsabile per parecchio tempo del 50-60% dello spam in circolazione e di colpo zittita alcune settimane fa, praticamente in coincidenza con la chiusura delle operazioni da parte di SpamIt.

Che fine ha fatto Rustock, quindi?

Il solito Brian Krebs fornisce qualche insight…

Read Full Post »

Non se ne fan scappare una

Come accade ogni volta che un qualche evento “reale” scuote le rete, anche attorno alla faccenda Wikileaks (che poi in realtà nasce in rete, ma vabbè) hanno iniziato a concentrarsi attenzioni ed interessi quantomeno “torbidi”.

Qui un primo dettaglio. Il resto si vedrà…

Read Full Post »

Due piccioni e una fava…

Nelle ultime ore, c’è in circolazione un proliferare di spam che vuol apparire come proveniente da LinkedIn, come quello che riporto qui accanto.

Lo spam esce dalla botnet denominata Cutwail, ben nota alle cronache per essere una delle botnet più grandi in circolazione e al centro di svariate attività (ovviamente tutte illegali) tra le quali alcuni recenti DDoS come quello ai danni di Twitter.

Abbastanza ovviamente, il contenuto dello spam non linka affatto LinkedIn: punta infatti a pagine html depositate su webserver “innocenti”, cui lo spammer ha avuto accesso grazie al fatto di essersi impossessato delle credenziali FTP. Nel caso specifico, il pattern è quello riconducibile allo Zeus Trojan, che ha infettato il PC del proprietario dell’account FTP, ha sniffato le credenziali e le ha solertemente mandate al suo controllore.

Nel caso della mail qui accanto, la pagina linkata è http://altanyilmaz .com.tr/1.html (lo spazio l’ho messo apposta per evitarvi tentazioni).

Se si va a vedere cosa contiene la pagina in questione, si trova:

In sostanza, la pagina fa due cose:

• esegue una redirezione verso un sito di pilloline (il marchio “Pharmacy Express” riportato dallo stesso è di norma riconducibile alla gang che fa capo a Leo Kuvayev, recentemente incassettato)
• include un iframe puntante ad un altro sito

A che serve l’iframe?

Facile: cerca di installare lo Zeus Trojan sul PC del visitatore incauto.

Prendono due piccioni con una fava, insomma.

E indovinate dove cercan di mettervi la fava…

Read Full Post »

Fatal System Error

Sto leggendo questo libro e mi sento vivamente di consigliarlo a chiunque abbia un interesse per l’Internet security.

Spam, Botnet, DDoS, scommesse online e infiltrazioni mafiose nei mercati clandestini (ma anche insospettabili e alla luce del sole) che hanno trovato una loro naturale collocazione online: chi di questi temi si interessa ma ne ha una visione parziale qui troverà date, luoghi, eventi e nomi, nella storia vissuta direttamente da alcuni tra i protagonisti delle relative vicende.

Qui una intervista all’autore, articolista del Financial Times:

Da leggere.

Read Full Post »

FTP crack: aggiornamento

Come promesso, ho provato a tenere traccia dell’età delle pagine crackate, man mano che i miei script le individuano.

Il “come” è abbastanza banale: dopo aver stabilito che la pagina è abusiva, estraggo via LWP l’header Last-Modified fornito dal server per la pagina in questione e loggo l’età della pagina (dopo una semplice sottrazione).

Ovviamente, c’è il compromesso di affidarsi ad un timestamp fornito dal webserver, senza avere la garanzia che esso sia correttamente configurato riguardo alle impostazioni di data e ora, ma per ricavarne una statistica dovrebbe essere un assunto accettabile.

Il campione finora disponibile consiste nell’età di 1920 pagine crackate individuate approssimativamente nelle 48 ore precedenti a questo post.

La distribuzione risultante la pubblico qui: sull’asse X è riportata l’età in ore della pagina, mentre sull’asse Y c’è il numero di campioni della data età, approssimata a step di 10 minuti. Si noti come risultino anche dei campioni con età negativa, che sono evidentemente un risultato di errate configurazioni come quelle sopra citate, ma che ho scelto di lasciare, anzichè filtrarle.

Appare abbastanza evidente che lo spammer inizia a spammare la nuova risorsa immediatamente dopo averla uploadata sul sito compromesso, anzichè “pescare” da un archivio di URL già precedentemente compromesse…

Il che è anche coerente (ovviamente) con la necessità dello spammer di essere “flessibile” qualora il sito a cui puntano i redirect dovesse venire reso inaccessibile.

Read Full Post »