Weekly Threats: N. 23 2018

La settimana di ferragosto si caratterizza innanzitutto per le numerose campagne che hanno colpito i clienti di istituti di credito: mentre in Brasile sono state esfiltrate le credenziali di migliaia di utenti di Banco do Brasil e Itau Unibancograzie a router DLinkDSL vulnerabili, in India è stata rilevata la compromissione dei server della Cosmos Bank di Pune che ha consentito di rubare oltre 13 milioni di dollari in sole 7 ore.

Negli stessi giorni, una nuova versione del noto trojan bancario TrickBot è stata distribuita ad utenti di vari istituti finanziari tramite documenti Word malevoli; grazie al bancario Anubis sono stati colpiti invece gli utenti Android di oltre 70 banche tra cui Santander e Citibank ma anche quelli di popolari applicazioni come PayPal, eBay e Amazon. Infine, tramite la botnet Necurs è stato distribuito il tool di accesso remoto FlawedAmmyy che ha mietuto vittime nel settore finanziario.

Da segnalare anche la scoperta (e relativa risoluzione) di due bug 0-day di Microsoft già sfruttati in attacchi reali condotti dal threat actor TA505 e dall’APT sudcoreano DarkHotel. Entrambi consentono di compromettere i sistemi target tramite esecuzione di codice da remoto. Risolte anche tre vulnerabilità dei processori Intel che consentivano di lanciare il nuovo tipo di attacco Foreshadow.

Fra gli APT spicca ancora una volta il gruppo nordcoreano Lazarus che ha sviluppato una nuova minaccia prontamente rilevata dal Department of Homeland Security e dall’FBI: Keymarble.

Ha fatto parlare di sé anche l’APT cinese Stone Panda grazie ad alcune analisi che hanno consentito di stabilire con sempre maggiore certezza connessioni tra il gruppo e il governo di Pechino.

[post_tags]