Weekly Threats: N. 20 2018

Settimana calda quella appena trascorsa per la sicurezza cyber in Italia, divenuta target di una campagna che vede protagonista il trojan bancario Emotet. I documenti malevoli – veicolati tramite email di spam – si spacciano per ricevute Paypal, notifiche di spedizioni o fatture. Il malware si garantisce la persistenza nei sistemi con l’injection in explorer.exe e in altri processi, attivando in seguito un meccanismo di diffusione nelle reti locali tipico di un worm.

La Polizia Postale ha inoltre pubblicato un’allerta di livello alto in merito a una campagna a fini estorsivi basata su messaggi di posta elettronica. Nello specifico l’oggetto dei messaggi riporta l’indirizzo di posta elettronica e le password attuale e passata delle vittime, minacciandole di pubblicare – laddove non provvedano al pagamento di un riscatto in bitcoin –  un video, registrato con la webcam del dispositivo compromesso, che ritrae le stesse mentre stanno guardando contenuti pornografici.

 Proseguono sul terreno cyber le tensioni USA-Russia. Questa settimana il Department of Homeland Security ha reso noti dettagli riguardanti una serie di incidenti avvenuti lo scorso anno sulla rete elettrica USA che possono essere ricondotti a una campagna APT di matrice russa mirata contro i relativi sistemi di controllo. Come possibile attore è stato nominato il gruppo di matrice russa Dragonfly, alias Energetic Bear.

Attività anche in Medio Oriente: in Siria risulta ancora attiva la lunga e mirata campagna che la compagine nota come APT-C-27, alias Golden Rat, sta conducendo dal novembre 2014 nella regione. Gli attacchi hanno mirato prima i sistemi Windows poi anche quelli Android, L’obiettivo, in tutti i casi, è quello di sottrarre dati a vittime arabofone e di organizzazioni localizzate nei paesi arabi; un attore battezzato Leafminer è invece al momento attivo in una campagna – il cui inizio è datato almeno 2017 – contro numerose organizzazioni governative e del business in numerose regioni del Medio Oriente.  Considerando la tipologia dei tool post-infection sfruttati, Leafminer sembra interessato a procurarsi dati delle email, file e database dei server. Tra i potenziali target localizzati fra Arabia Saudita, Emirati Arabi Uniti, Qatar, Kuwait, Bahrain, Egitto, Israele, Afganistan.

 Starebbe invece svolgendo attività di spionaggio – contro organizzazioni governative in Pakistan e altri Paesi dell’Asia meridionale –  l’APT indiano Dropping Elephant. L’ultima campagna, della fine di giugno 2018, si è basata su documenti di phishing che sfruttavano la questione del Kashmir.

Di questa settimana anche la scoperta di una vulnerabilità della crittografia che affligge numerose implementazioni Bluetooth, alcuni driver per il sistema operativo di Apple, nonché Broadcom, Intel, Qualcomm e altri vendor di hardware. La stessa consentirebbe a un attaccante remoto di ottenere la chiave ed esfiltrare perciò i dati inviati da un dispositivo all’altro durante una connessione Bluetooth.

Secondo un ricercatore di sicurezza un server di backup della compagnia canadese Level One Robot And Controls sarebbe stato invece accessibile online e privo di protezione. L’esposizione riguarderebbe nello specifico circa 47.000 file contenenti dati riservati, tra cui anche schemi industriali. La Level One distribuisce infatti soluzioni per l’automazione e in quel server ha archiviato, fra l’altro, materiale riguardante gli interscambi avuti con oltre 100 produttori di autovetture fra cui Tesla, Toyota, Volkswagen, FCA, Ford, General Motors.

Tra i malware che hanno registrato particolari attività nella scorsa settimana, si segnalano: Red Alert 2.0, PowerGhost e FELIXROOT. Nel primo caso il trojan bancario è al momento in distribuzione nell’ambito di una campagna basata su false applicazioni per dispositivi Android. Le vittime sono indotte a scaricare le app trojanizzate da siti web che imitano quelli legittimi per il download come per esempio Flash Player, Chrome Update o Google Update, WhatsApp, e Viber. Nel caso di PowerGhost si tratta di un nuovo miner di criptomoneta in grado di infiltrare un sistema e diffondersi all’interno di grosse reti aziendali infettando sia le postazioni di lavoro che i server. Infine una recente campagna malevola ha distribuito la backdoor nota come FELIXROOT sfruttando due note vulnerabilità di Microsoft Office. La backdoor è in grado di svolgere una serie di operazioni, fra cui rilevare le informazioni di sistema, scaricare ed eseguire file e script, eseguire shell da remoto.

[post_tags]