Gli avvocati si danno al typosquatting

Da fine Novembre / inizio Dicembre 2006 il team che sta alle spalle delle famose e-mail i cui soggetti preferiti sembrano essere avvocati - ma in altri casi anche polizia municipale o compagnie di sicurezza informatica - è stato molto attivo nel rilasciare continui aggiornamenti del proprio malware.

Un Trojan.Hijacker spesso modificato nella forma per evitare i controlli delle firme virali da parte dei software antivirus, fino ad arrivare a cambi radicali in queste ultime versioni di Maggio. Cambio nella forma, ma non nella sostanza. Continua a modificare Internet Explorer, la home page e aggiunge alla lista dei siti attendibili siti infetti, continua ad avere funzioni di dialer. Continua ad essere sempre più “italiano”.

I testi delle e-mail sono sempre scritti in italiano fluente e corretto, ma non è solo questo il punto che fa sospettare una possibile natura italiana del malware.

Gli autori si sono dati al typosquatting. Questo termine sta ad indicare una tecnica atta al furto di un nome di dominio sfruttando gli sbagli che spesso gli utenti compiono scrivendo velocemente un URL.

In altre parole, se questo sito in oggetto si chiama www.pcalsicuro.com, secondo il typosquatting qualcuno potrebbe registrare il dominio www.pcaslicuro.com e utilizzarlo per trasmettere del malware. Si tratta, in altre parole, di avvicinarsi il più possibile all’indirizzo del sito originale di cui si vuole simulare l’URL in modo tale che un utente, digitando frettolosamente, si possa ritrovare su una pagina infetta.

Risulta interessante vedere come questi untori si siano dati da fare registrando molti domini tra i quali:

www.corrire.it
www.ilmessagero.it
www.messagero.it
www.tutttogratis.it
www.reppublica.it
www.googler.it
www.googlie.it
hotmaill.it
liberol.it
www.quattoruote.it
www.unfi.it
wwwgenialloyd.it
wwwilmessaggero.it
www.ispsel.it
www.googlew.it
www.juvenus.it
wwwhwupgrade.it
www.corriete.it
www.uninib.it
www.unpi.it
www.freonline.it
www.pagineialle.it
nirgilio.it
www.asnsa.it
www.repubbulica.it
tuttoratis.it
www.sbobba.it
www.egazzetta.it
libvero.it
www.alitala.it
wwwadr.it

I domini, registrati al NIC, risultano essere proprietà di un signore tedesco:

Name: Bojarovs Aleksejs
ContactID: BA3396-ITNIC
Address: street: Grodnas 42/72
zip: LV-5400
city: Daugavpils
DE

della cui reale esistenza dubito fortemente o, almeno, anche lui potrebbe essere vittima a sua volta.

La società che ha registrato i domini risponde a Prolat, maintainer già da tempo al centro di critiche legali per attività di typosquatting. In effetti, la mera attività di typosquatting non dovrebbe essere illegale, perché si tratta della registrazione di un nome di dominio come altri. Al massimo, il problema potrebbe arrivare se la società il cui dominio è stato “copiato” volesse acquistare anche i domini simili al suo e di conseguenza si entrerebbe in un affare privato.

In questo caso, però, l’attività di typosquatting è legata ad un’azione di diffusione di malware. I domini hijackati, infatti, rimandano ad un unico server ospitato negli Stati Uniti da SOFTLAYER TECHNOLOGIES INC (Indirizzo IP: 75.126.144.219). Da qui, sono due i siti web che vengono richiamati, automaticamente oppure necessitano di intervento manuale, cioè 64.202.120.142 e 216.120.252.191. Senza indagare ulteriormente con whois vari, i siti sono comunque ospitati anch’essi negli Stati Uniti.

Al momento, una variante lì ospitata bypassa molti software antivirus conosciuti: solo Prevx, Kaspersky (e derivati dall’engine russo), Avira, BitDefender, AVG, OneCare, Sophos e Norman intercettano questa variante - sebbene non sia tanto questo il problema (le altre società aggiorneranno a breve), quanto piu che altro la continua e incessante attività che sta dietro a questa famiglia di malware, sempre aggiornati per bypassare le difese standard degli utenti.

Da quello che sembra, dietro questo malware c’è più di un ragazzino con voglia di fare danni. Ma a noi sta il compito di tentare di difendere gli utenti con i mezzi informatici, ad altri il compito di indagare ed arrestare se possibile gli autori materiali.

17 Responses to “Gli avvocati si danno al typosquatting”

m4v3rick
Maggio 25th, 2007 at 15:44

bravo il nostro terrorista e utilizzatore di FUD
Nod32 non lo intercetta. Se continua di questo passo lo cambio con antivir full
TNT
Maggio 25th, 2007 at 16:37

L’avevano gia’ fatto tempo addietro. I domini sono molti, ma MOLTI di piu’… vedi:

groups.google.com/group/it.comp.sicurezza.virus/msg/e0523d3a6ff238cd
Marco
Maggio 25th, 2007 at 17:47

si l’avevo visto, ne ho elencati un po’
TNT
Maggio 25th, 2007 at 17:52

Marco lo immaginavo… non era una critica eh. Semplicemente per specificare x chi leggeva l’articolo… sarebbero tutti da bloccare…
Marco
Maggio 25th, 2007 at 17:54

tranquillo non me la sono mica presa Era per dire che avevi ragione
TNT
Maggio 25th, 2007 at 17:57

Francamente speravo che questi domini fossero stati forzatamente chiusi tutti quando era venuta fuori la cosa (furono in parecchi a notarlo)… evidentemente non era cosi’… sono anni che vanno avanti indisturbati ormai.
Skoovitz
Maggio 26th, 2007 at 18:32

Ciao, l’indirizzo riportato è palesemente tarokko, quantomeno non c’entra nulla con la Germania ma come si può dedurre dalle prime due lettere del C.A.P. LV si riferisce alla Lettonia (o Latvia).
Daugavpils è indatti una cittadina lettone, ha anche un sito

http://www.daugavpils.lv/

Un saluto a tutti e complimenti vivissimi a Marco per la battaglia che svolge ogni giorno contro queste minacce, a vantaggio di tutti!
Marco
Maggio 26th, 2007 at 19:39

Ciao,

ti ringrazio dei complimenti e soprattutto ti ringrazio per l’ottimo intervento, sinceramente non avevo ancora indagato sulla veridicitá dei dati personali Ottimo, una informazione in piú

Ciao!

Marco
lorenzo
Maggio 28th, 2007 at 17:16

la mia carta postepay è stata truffata per 55 euro sabato 26 con un messaggio spam, al quale ho ceduto, dopo avere controllato il mittente: info@posteitaliane.it. la carta è stata subito bloccata dalle poste, ma senza alcuna spiegazione; 20 minuti di attesa al telefono dell’assistenza, e probabilmente non recupererò il denaro. peccato che le poste non rispondano alle domande di chiarimento.
TNT
Maggio 28th, 2007 at 18:55

Lorenzo, il mittente SMTP (a parte qualche raro caso) si puo’ falsificare a piacimento. Anche tu stesso potresti mettere “info@posteitaliane.it” come mittente…
Rossano
Maggio 29th, 2007 at 17:22

Ciao Lorenzo,

nel modo più assoluto non bisogna mai e poi mai rilasciare credenziali di accesso della propria carta di credito sia per quanto riguarda le poste sia per qualsiasi istituto di credito.
Nessun ente di credito può richiedere informazioni di accesso private per email.
Si ritiene che molte siano state le carte rubate e appartenenti a Poste.it (in particolare postepay).
Per qualsiasi dubbio nel caso accidentalmente abbiate rilasciato informazioni sensibili di questo tipo, è importante che avvisiate immediatamente il vosto istituto di credito (poste,banca…) esponendo il problema e in caso di forte dubbio è consigliabile bloccare la carta immediatamente soprattutto quando si tratta di carte che si riferiscono al vostro conto diretto.

Ciao a tutti

Rossano
mondomarketing » Typosquatting
Giugno 6th, 2007 at 14:39

[…] Avete mai sbagliato scrivendo nel browser l’indirizzo di un sito e vi siete ritrovati da tutt’altra parte con siti che parlano di tutt’altri argomenti? Basta una doppia in più o un tasto cliccato per sbaglio e attenti alle pagine e alle immagini che potreste vedere! Questo fenomeno ha un nome, Typosquatting detto anche URL hijacking, e viene utilizzato da molti per avere accessi ulteriori sui propri siti sfruttando gli errori degli utenti, nonchè per effettuare azioni fraudolente e pericolose. Adesso però il pericolo che “viene dalla tastiera” ha una sua branca italiana, infatti sono stati recentemente registrati la bellezza di circa 1100 nomi a dominio con desinenza .it e simili a siti del web Italiano tra i più noti e visitati, come i siti dei maggiori quotidiani, o dei motori di ricerca. Tutti i domini portano alla stessa pagina, creata per trarre in inganno e far scaricare un file eseguibile che può creare problimi a chi non ha un computer protetto. Tutti i domini puntano allo stesso server e sono registrati a nome di un fantomantico e probabilmente ignaro Bojarovs Aleksejs; il malware scaricato, come scrive Marco Giuliani su PC Sicuro, è un “Trojan.Hijacker spesso modificato nella forma per evitare i controlli delle firme virali da parte dei software antivirus, fino ad arrivare a cambi radicali in queste ultime versioni di Maggio. Cambio nella forma, ma non nella sostanza. Continua a modificare Internet Explorer, la home page e aggiunge alla lista dei siti attendibili siti infetti, continua ad avere funzioni di dialer”. La lista dei domini relativi a questo fenomeno, riguardanti l’italia è visibile su Sunbelt. […]
davide
Giugno 13th, 2007 at 11:40

Ankio ho avuto questo problema digitando male google ma come faccio a levarlo sono in una paranoia disumana!HELP!!!!!1
Typosquatting: La Nuova Minaccia! « Simply Taught Security
Giugno 20th, 2007 at 17:27

[…] Da quello che sembra, dietro questo malware c’è più di un ragazzino con voglia di fare danni. Ma a noi sta il compito di tentare di difendere gli utenti con i mezzi informatici, ad altri il compito di indagare ed arrestare se possibile gli autori materiali. Grazie a Marco Giuliani. […]
per il web italiano è pericolo Typosquatting | Manicalarga: notizie e consigli
Marzo 31st, 2008 at 17:17

[…] L’articolo completo su html.it, leggi anche pcalsicuro […]
enrico villa
Agosto 6th, 2008 at 09:25

se tutti avessero un browser e un sistema operativo decente si potrebbe capitare - per sbaglio - ovunque senza infettaresi e alimentare quel inutie ed immorale giro del fumo dell’assietnza tecnica per gli utonti M$oft
enrico villa
Agosto 6th, 2008 at 09:28

… o peggio impegnare risorse per smasckerare giovani con voglia di fare danni.. certo a questo punto è necessario proteggere gli utenti, ma IMOHO bisogna puntare soprattutto sull’informazione si quali strumenti usare (chi non sta pensando a linux ? )