Weekly Threats: N. 02 2019

La scorsa settimana sul versante minacce è stata osservata una nuova ondata di email malevole che, attraverso la nota minaccia Danabot, colpisce obiettivi in Italia. Vettore della campagna sono messaggi di phishing redatti in italiano e al cui interno è presente un link.

La Corea del Sud sarebbe invece vittima di una nuova operazione riconducibile agli APT di Pyongyang, attraverso una campagna di spear-phishing incentrata su un documento legittimo di un dicastero. Alla campagna sembrerebbe verosimilmente collegato l’attacco “Operation Cobra Venom” contro 77 giornalisti sudcoreani vicini al Ministero dell’Unificazione. Attraverso email di spear-phishing le vittime sono state indotte ad aprire un archivio ZIP allegato ai messaggi al cui interno sono presenti tre eseguibili malevoli, che si spacciano per due PDF e un HWP; i loro filename fanno riferimento alla piattaforma Netflix.

Nel periodo compreso fra il 23 novembre 2017 e il 25 ottobre 2018, il threat actor Magecart avrebbe violato i siti di e-commerce della statunitense Titan Manufacturing and Distributing.

Il data breach riguarda nomi, indirizzi di fatturazione e spedizione, numeri di telefono, dettagli delle carte di pagamento, compresi i codici di verifica.

Un attacco che ha causato la perdita di oltre 1 milione di dollari in criptomoneta ha costretto la nota piattaforma di exchange Coinbase a sospendere tutte le transazioni di Ethreum Classic, la versione originale della rete Ethereum.

Infine, rispetto alla scorsa settimana, emergono ulteriori informazioni sul ransomware Ryuk. Lo stesso, implementato dal codice sorgente di Hermes, risulta attivo dalla metà di agosto 2018 e viene impiegato in attacchi mirati contro società localizzate nel Regno Unito, negli USA e in Canada.  A differenza di Hermes, che è stato commercializzato e viene utilizzato da diversi threat actor, Ryuk sembra essere nelle disponibilità di un unico gruppo cyber-crime di matrice russa chiamato GRIM SPIDER.

Relativamente alle vulnerabilità, su Skype ne è stata di recente rilevata una che consentirebbe di accedere a contatti, foto, browser e altro sui dispositivi Android semplicemente rispondendo ad una chiamata effettuata tramite la piattaforma, bypassando i meccanismi di autenticazione del sistema operativo di Google.

Rispetto ai data breach sono stati resi noti i primi risultati delle indagini svolte dalle autorità tedesche per accertare le responsabilità del caso che ha visto comparire online i dati di numerosi politici e celebrità. Da quanto emerso finora sembra infatti possibile escludere che l’attacco abbia una matrice state-sponsored e che sia dunque stato orchestrato da attori esteri. Al contrario, secondo quanto dichiarato dal Ministro degli Interni bavarese Joachim Herrmann, tutto sembra suggerire che dietro l’operazione si celi un unico individuo che non avrebbe preso di mira infrastrutture e servizi governativi ma account personali di client mail e piattaforme social.

Si torna nuovamente a parlare di Facebook. L’organizzazione benefica Privacy International, con base nel Regno Unito, lo scorso dicembre ha rilasciato infatti un paper che documenta attività illecite riguardo alla gestione dei dati svolte da alcune applicazioni Android in associazione con la nota piattaforma social. La relazione, intitolata “How Apps on Android Share Data with Facebook (even if you don’t have a Facebook account)”, dà conto di quanto vengono rispettati il GDPR (General Data Protection Regulation), la direttiva ePrivacy (2002/58/EC) della Comunità Europea e la Competition Law da parte di 34 applicazioni. È risultato che il 64% di queste (23), ogni volta che viene aperta e chiusa dall’utente, segnala il fatto automaticamente a Facebook; e in seguito invia dettagli sul dispositivo e sulla possibile localizzazione in base alla lingua e al fuso orario impostati.