That trick was really about to get me...

The bot would realy make you believe it is your Facebook contact talking to you, but it is not...

I sent the URL to VirusTotal, here are the results: nothing to worry about...

https://www.virustotal.com/url-scan/report.html?id=57e229513f552a0ba3775213d1d6b8c6-1311622558#

Even the "downloaded file" analysis does not show any alert:

https://www.virustotal.com/file-scan/report.html?id=c91712143eefa0f98daec77036d6a22a2c1633556bfdbe895392ed8b559ad00a-1311630321

And the reason is quite simple... there is neither automatic file download, nor drive-by-download. Once again, the user will be lured to download himself the "latest Flash player version"...

Pretty well done, uh? But this is not youtube...

What I find pretty outstanding, is the fact that the "fake youtube" website did grab the Facebook victims's username, and furthermore, fake comments from the victim's contacts are also being displayed below the (fake) video!

Please note that the URL is a single IP address, no domain name! According to Netcraft, the server is being hosted in Bulgaria: http://toolbar.netcraft.com/site_report?url=http://213.231.133.56 

So, in order to view the video, the user is supposed to click on the link. I serves a Flash-Player.exe file, hosted on the same HTTP server.

And this time, the AV scans do tell us something interesting:

https://www.virustotal.com/file-scan/report.html?id=7a9578ad75913564178f1e5c5be2fade4abb20835ff9ec82eb0716ce7a151c7d-1311629984#

Unfortunately, the URL itself does not trigger so many security systems:

- Internet Explorer (with Trend Micro Browser Guard): no alert

- Firefox 5: no alert

- Chrome 12.0.742: no alert 

- Safari 5: no alert.

- Webreputation: "domain not reachable"... 

In fact, most of these results are summarized within the VT's "URL analysis tool" report.

While investigating the threat, I noticed they apparently use a stealth system: you can't request access to the domain several times, even using different browsers, of you're gonna be blocked.

This works over HTTP, while the ping (ICMP) still responds.

For non French readers, executive summary follows.

Je vais présenter ici une liste d'extensions pour Firefox, qui permettent de protéger la navigation, et non pas d'auditer des sites ou applications.

Il y aura certainement des points communs avec Firecat, mais l'objectif n'est pas le même ici : le durcissement de la navigation.

- Netcraft toolbar : protection anti-hameçonnage

- Phishtank SiteChecker : idem que Netcraft

- Adblock Plus : protection anti-publicité (prendre les listes FR + USA)

- Search Engines Security : protection contre le détournement des moteurs de recherche

- Webreputation./org : pour évaluer une URL de façon communautaire

- WOT (Web Of Trust) : idem que Webreputation.org

- McAfee Secure URL Shortener....

- QuickJava : pour pouvoir bloquer à la demande : Java, Javascript, Flash, Silverlight, CSS... je le préfère à NoScript, vu qu'il est capable de bloquer plus de contenus actifs.

- CSFire : protection contre les CSRF (lien avec les tops OWASP)

- BetterPrivacy

- Calomel SSL Validation : pour vérifier/évaluer les certificats HTTPS

- Certificate Patrol : pour suivre les changements dans le magasin de certificats du navigateur

- HTTPS everywhere : forcer le HTTPS sur des sites proposant à la fois HTTP et HTTPS

- SSL BlackList

- Dr Web Antivirus Checker : pour pouvoir vérifier un fichier par simple clic droit.

- Browser Protect : contre le détournement des réglages du navigateur...

--------------------------------------- Executive summary ------------------------------------------

Here is a list of Firefox add-ons that I do recommend in order to harden the browser's security.

- Netcraft toolbar 

- Phishtank SiteChecker

- Adblock Plus 

- Search Engines Security 

- Webreputation./org 

- WOT 

- McAfee Secure URL Shortener....

- QuickJava 

- CSFire 

- BetterPrivacy

- Calomel SSL Validation 

- Certificate Patrol 

- HTTPS everywhere 

- SSL BlackList

- Dr Web Antivirus Checker 

- Browser Protect 

NB: for non English speaking people, use a translator such as translate.google.com

Once I had (last!) received my invitation to Google+, I started to play around with it. I will not describe here my feeling about the concept by itself, but will go straight to the point: the privacy.

One of my contacts told me he could see some others contacts, on my Google+ profile, that he does not know, and that were said to be "In Philippe's circles"...

Wow, I realized he was seeing some of my contacts, personal and/or professional ones, and I did not say Yes for that first, to my knowledge...

At once, I went to Google+ settings (on the upper right corner), and then: "Profile and privacy":

It is true to say that Google offers a mean to understand how you own profile will be seen by others: just enter their name, and click Preview.

Then came the real issue: yes my contacts, mixed pro/perso, were visible to anybody, on my profile... Is there a particular setting for that? fortunately, yes!

Click on "edit profile", then on the area where your contacts are being displayed to others, on your own profile:

No, you do read right... by default, all your contacts will be prompted to "anyone on the web", and above all, your last activity (people adding you to circles), will also be there...

In a nutshell, I do recommend you to:

- either choose the circles of people you accept to be shown on your profile, or just disable the "show people"

- disable the "show people who have added you to circles", if you think you'll be part of confidential circles...

Courriel reçu le 01/07/2011 03:48 :

Objet :

Video intimo de Deborah Secco com jogador Roger cai na internet! Assista com exclusividade o video que pode retirar a atriz da novela Insensato Coracao

Texte :

http://noticias.terra.com.br/mundo/noticias/0-OI5211810-EI8141-00-Video-intimo-de-Debora-Secco-e-Seu-Marido-Roger-Flores-e-Divulgado-na-Net.html-0.11290

En fait, le vrai lien est :

http://videos.urgentes.hrcfoundation .org/noticias/terra.com.br/videos/Video-intimo-de-Debora-Secco-e-Seu-Marido-Roger-Flores-e-Divulgado-na-Net-html.php?0.11290

L'accès à ce lien provoque un téléchargement d'un fichier nommé : Video-intimo-de-Debora-Secco-e-Seu-Marido-Roger-Flores-e-Divulgado-na-Net-AVI.exe

Voici ce que donne Kaspersky 2011 :

Si l'on force l'accès à l'URL, avec IE9, alors c'est la vérification automatique du téléchargement par Windows Defender qui émet une alerte (cf. bas de l'écran de la capture).

Pour les autres navigateurs :

- Firefox 5 : aucune alerte

- Safari 5.0.5 : aucune alerte

- Opéra 11.11 : alerte AVG (cf. ci-dessous)

- Netcraft : aucune alerte, mais ce n'est effectivement pas un site de hameçonnage...

- Web Of Trust : réputation "faible", mais pour autant, l'accès à l'URL a été possible. Donc protection inefficiente.

- Webreputation.net : score de 80/100, donc plutôt positif...

- Google SafeBrowsing : site "sûr" !

------------------------------------------------------------------------------------------------------------------------------------ 

A propos du site lui-même :

Avec un Apache 2.0.59, le composant ModDAV, et surtout un PHP 4.4.5, il n'y a peu de doute sur le fait qu'il était relativement aisé de compromettre ce serveur.

Niveau adresse IP, la situation est assez simple :

> videos.urgentes.hrcfoundation.org
Serveur :   resolver1.opendns.com
Address:  208.67.222.222

Réponse ne faisant pas autorité :
Nom :    videos.urgentes.hrcfoundation.org
Address:  67.215.77.132

Pas de CDN ou de BotNet d'hébergement...

Pourtant, tout n'est pas aussi simple. La même résolution DNS chez SFR donne :

> videos.urgentes.hrcfoundation.org
Serveur :   UnKnown
Address:  192.168.1.254

Réponse ne faisant pas autorité :
Nom :    videos.urgentes.hrcfoundation.org
Address:  210.125.88.6

Ceci est confirmé par l'analyse Robtex :

http://www.robtex.com/dns/videos.urgentes.hrcfoundation.org.html#summary

Si l'on accède au serveur webp ar son IP, le même message avec la version Apache/PHP apparaît :

http://210.125.88.6./noticias/terra.com.br/

Donc il y avait visiblement un problème de synchro DNS (OpenDNS ayant renvoyé une information erronée).

Cette IP :

- n'a pas "mauvaise réputation" chez CISCO Senderbase :

http://www.senderbase.org/senderbase_queries/rep_lookup?search_name=210.125.88.6&action%3ASearch=Search

- n'est pas listée à malwareurl.com (tout comme le domaine)

- n'est pas listée à malwaredomains.com (tout comme le domaine)

Au niveau géographique, il semble que l'on soit en Korée :

http://whois.domaintools.com/210.125.88.6

----------------------------------------------------------------------------------------------------------------------

Côté antivirus, 24 moteurs (version ligne de commande) sur 42 détectent le fichier exécutable :

-----------------------------------------------------------------------------------------------------------------------------------

Concernant le fichier exécutable, l'analyse ThreatExpert confirme qu'il s'agit d'un BotNet avec un canal de contrôle :

http://www.threatexpert.com/report.aspx?md5=e84f3c2db8e8d88cad78dc9e18509d55

Le canal de contrôle serait donc : 218.201.202.76 , port 80

-----------------------------------------------------------------------------------------------------------------------------------

Concernant le canal de contrôle lui-même :

Nmap scan report for 218.201.202.76
Host is up (0.40s latency).
Not shown: 962 closed ports
PORT      STATE    SERVICE
7/tcp     open     echo
9/tcp     open     discard
13/tcp    open     daytime
19/tcp    open     chargen
21/tcp    open     ftp
22/tcp    open     ssh
23/tcp    open     telnet
25/tcp    filtered smtp
37/tcp    open     time
79/tcp    open     finger
80/tcp    open     http
111/tcp   open     rpcbind
512/tcp   open     exec
513/tcp   open     login
514/tcp   open     shell
515/tcp   open     printer
587/tcp   open     submission
898/tcp   open     sun-manageconsole
3306/tcp  open     mysql
5987/tcp  open     wbem-rmi
5988/tcp  open     wbem-http
6112/tcp  open     dtspc
7100/tcp  open     font-service
8080/tcp  open     http-proxy
8082/tcp  open     blackice-alerts
8083/tcp  open     us-srv
8084/tcp  open     unknown
8085/tcp  open     unknown
9010/tcp  open     sdr
9090/tcp  open     zeus-admin
9999/tcp  open     abyss
32771/tcp open     sometimes-rpc5
32772/tcp open     sometimes-rpc7
32773/tcp open     sometimes-rpc9
32774/tcp open     sometimes-rpc11
32775/tcp open     sometimes-rpc13
32776/tcp open     sometimes-rpc15
32785/tcp open     unknown
Device type: general purpose
Running: Sun Solaris 10
OS details: Sun Solaris 10
Network Distance: 27 hops

Le nombre de ports ouverts est assez impressionnant. Et d'autre part, un système d'exploitation Solaris 10 (donc assez récent) n'est relativement pas courant, comme "serveur" de BotNet.

La fonction "proxy", sur le port 8080, n'accepte visiblement pas la navigation de tout le monde.

Message reçu le 20 juin à 6h09 :

Vous avez reçu un nouveau message privé.
Cliquez ici pour lire votre message.

Ce message a été généré automatiquement

Crédit Agricole 2011

En fait, le lien pointe sur : http://www.seko-gyoseishoshi. net/.credit-agricole.fr/

Ce lien est toujours actif, plus de 72h après une des campagnes de diffusion du courriel contrefait.

Au niveau filtrage navigateur :

- IE 9 : aucune alerte

- Firefox 5 : aucune alerte

- Opéra 11.11 : aucune alerte

- Safari 5.0.5 : aucune alerte

- Chromium 0.9.58.471 : aucune alerte.

Module Netcraft : aucune alerte.

Voici ce que donne la page contrefaite :

Pour mieux comprendre ce qu'il se passe, faisons un accès à la ressource "index", avec capture des requêtes HTTP :

Comme on peut le voir, les requêtes HTTP basculent sur  https://www.paris-enligne.credit-agricole.fr

Mais, un "get aaa.html", sur le domaine parent (doncseko-gyoseishoshi.net) semble surprenant.

Le code source de la page index.html révèle la supercherie technique :

        <iframe src="aaa.html" name="pageIdent" width="195" height="235" frameborder="0" scrolling="no">Votre navigateur ne supporte pas les IFRAME ......</iframe>

Injection de page, via balise iFrame.

Effectivement, le formulaire contrefait apparaît tout de suite :

Malheureusement pour les utilisateurs dupés, les données saisies dans le formulaire sont renvoyées par formulaire sur login.php, mais qui n'est pas hébergé chez Crédit Agricole :

<form style="display:inline;" name="loginForm" method="POST" action="login.php" autocomplete="off" onsubmit="return checkData();">

Un accès à la page index.php renvoie immédiatement sur : https://www.paris-enligne.credit-agricole.fr/g1/ssl/identification/nav1/acc_ide1_1.htm

C'est plus discret, effectivement.

----------------------------------------------------------------------------------------------------------------------------------------------

Par rapport au site compromis lui-même :

Il n'y a visiblement pas de réel gestionnnaire d'erreur. Du coup, il est facile de faire sortir la version du serveur HTTP...

Apache 2.0.51 sur Fedora, pas de doute, le site a quelques mises à jour de retard.

D'après ce site, le serveur serait en Fedora Core 4, par rapport à la version d'Apache correspondante :

http://doc.fedora-fr.org/wiki/Installation_et_configuration_d'Apache

Par rapport à la ligne éditoriale de HTTPd, il semble qu'il y ait 13 versions ultérieures, corrigeant bogues et failles de sécurité, pour la branche 2.0 :

http://httpd.apache.org/security/vulnerabilities_20.html

En cherchant les paquetages Fedora pour HTTPd, il semble que la version 2.0 ("non recommandée" par Apache) ne soit plus proposée pour Fedora :  http://www.rpmfind.net/linux/rpm2html/search.php?query=httpd&submit=Search+...&system=fedora&arch=

Autant dire donc que ce site devait certainement avoir plusieurs failles de sécurité permettant de le compromettre et d'y poser le nécessaire au hameçonnage.

Enfin, hébergé au Japon, selon Netcraft, il sera certainement compliqué de demander réparation ou de leur imposer une correction rapide par voie officielle... les fameuses lois du sol.

------------------------------------------------------------------------------------------------------------------------------------------------

Suite à mes signalements, voici quelques retours :

Netcraft n'a pas validé le signalement... (23/06/11)

The URL you recently submitted could not be accepted as a phishing
site by the Netcraft Anti-Phishing Team, for the following reason:

This is not a phishing site.

URL:
http://www.seko-gyoseishoshi.net/.credit-agricole.fr/

The Netcraft Anti-Phishing Team