Weekly Threats: N. 15 2018

Quella trascorsa si presenta come una settimana densa per l’Italia. Target per lo più italiani, con particolare riguardo per il settore delle telecomunicazioni, sono stati quelli di una campagna di malspam che ha distribuito il malware noto come Smoke Loader.

Messaggi di posta elettronica fraudolenti – come vettore d’infezione finalizzato a indurre le vittime a eseguire uno script che permette il download di una variante del trojan bancario Gootkit – avrebbero inoltre colpito numerose organizzazioni e aziende private facenti parte del settore produttivo e amministrativo italiano con un impatto anche su alcuni enti pubblici.

Novità di tipo economico inoltre per la frontiera di distribuzione del trojan per Android noto come Red Alert 2.0. Lo stesso viene infatti ora offerto a noleggio al prezzo di 200 dollari a settimana con scalabilità per abbonamenti mensili e annuali. L’annuncio pubblicitario, redatto in lingua russa, evidenzierebbe la sua capacità di mietere vittime tra gli utenti di circa 120 banche, tra cui le italiane Intesa San Paolo e UBI, dislocate in vari Paesi.

Sul fronte asiatico, durante il periodo coincidente con i tempi dell’incontro avvenuto fra il Presidente USA Donald Trump e quello nordcoreano Kim Jong-un, le infrastrutture di Singapore sarebbero state vittima di una campagna di attacchi che risulta proveniente dalla Russia. Il sospetto è che siano stati censiti telefoni cellulari o server VoIP non sicuri per avere accesso ai sistemi e spiare le comunicazioni. La mancanza di prove effettive di compromissione e l’impossibilità di un’attribuzione certa, non permettono di classificarla in modo inequivocabile come un’operazione state-sponsored.

Ricercatori di sicurezza hanno recentemente rilevato una campagna di cyberspionaggio, volta all’esfiltrazione dati e probabilmente al controllo satellitare, attribuita ad un gruppo APT di matrice cinese identificato come Thrip. L’operazione, altamente mirata, ha targettizzato i settori dell’industria della Difesa, delle telecomunicazioni, dei satelliti e del mapping geospaziale, in particolare macchine che utilizzano il software MapXtreme GIS (Geographic Information System) ma anche Google Earth e Garmin. Le aree target della campagna risultano essere perlopiù USA e Sud-est asiatico.

Gli analisti hanno notato una nuova attività –  questa volta con target organizzazioni finanziarie localizzate in Russia e laboratori di prevenzione dai rischi chimici e biologici in Ucraina e in paesi europei – per Olympic Destroyer, il malware sfruttato per colpire le infrastrutture di compagnie coinvolte nei Giochi Olimpici organizzati dalla Corea del Sud a Pyeongchang. L’attribuzione resta al momento incerta. La peculiarità della minaccia, infatti, è quella di disporre di numerose “false flag”.

Sarebbe in ultimo GZipDe il downloader .NET – che consentirebbe l’installazione della backdoor Meterpreter, a fini di cyberspionaggio verso target in Medio Oriente. La campagna veicolerebbe preliminarmente l’infezione attraverso un DOC malevolo il cui testo fa riferimento al COS (Cooperation Organization Summit) tenuto a Qingdao, in Cina, alla fine di maggio.

[post_tags]