WEEKLY THREATS

Weekly Threats: N. 36 2018

16 Novembre 2018

Nuova settimana intensa per l’Italia. Dopo la mezzanotte del 14 novembre 2018, per 8 minuti, è stata rilevata l’interruzione dei servizi informatici del Ministero della Giustizia, che ha coinvolto tutti gli uffici giudiziari dei distretti di Corte d’Appello civile su tutto il territorio nazionale. Si è trattato di una compromissione del centro dati Telecom di Pomezia che gestisce la Posta Elettronica Certificata (PEC) del Ministero della Giustizia. La stessa Telecom, a seguito dei controlli effettuati, ha infatti rinvenuto tracce di una possibile violazione delle credenziali personali di accesso al servizio PEC messa in atto da attaccanti ignoti. Sempre secondo Telecom non ci sarebbero comunque evidenze di esfiltrazione.

Anonymous Italia ha invece annunciato una nuova campagna #OpGreenRights. Come si legge nella rivendicazione pubblicata per esteso sul blog del gruppo, il tema della protesta è il progetto per il nuovo aeroporto di Firenze che per dimensioni e traffico previsti costituirebbe un’opera dal forte impatto ambientale. I target del breach di dati stavolta sono stati il portale della Città Metropolitana di Firenze, che ha subito anche il defacement di una delle pagine, e quello dell’Osservatorio Giustizia Civile di Firenze.

Una nuova campagna di malspam sta inoltre distribuendo malware sfruttando link a un documento che viene spacciato per una fattura. Le vittime che sono cadute nel tranello hanno scaricato un archivio ZIP che contiene un’immagine PNG e un collegamento LNK. Il link al malware è stato occultato nell’immagine tramite la ormai nota tecnica della steganografia.

Relativamente a Magecart, una recente indagine ha ricostruito il panorama e la cronologia delle attività cyber-crime associate al threat actor. Le prime evidenze di campagne di questa tipologia risalgono all’aprile del 2000 e gli attaccanti riconducibili a questo nome che hanno operato nell’arco dei successivi 18 anni sono almeno 7. La prima minaccia sfruttata è lo skimmer di carte di credito Cart32; attivo per oltre un anno, ha consentito di sottrarre le informazioni di migliaia di clienti di piccoli e medi vendor di e-commerce. È nel 2015 però che è comparso il threat actor Magecart, che ha colpito diverse migliaia di siti. In particolare rispetto alla scorsa settimana, al gruppo sarebbe riconducibile l’infezione con uno script malevolo ai danni dell’e-commerce del portale InfoWars. Al momento la stima delle vittime potenziali si aggira intorno alle 1.600, ma non si esclude che il numero possa crescere.

Secondo ricercatori di sicurezza una massiva campagna di phishing ha invece colpito istituzioni finanziarie russe con mail che fingono di provenire dalla Central Bank of Russia o dal FinCERT (Financial Sector Computer Emergency Response Team). Secondo quanto emerso dall’analisi, una prima ondata di attacchi avrebbe avuto luogo lo scorso 23 ottobre e sarebbe da attribuire al gruppo MoneyTaker; una seconda ondata, datata 15 novembre, andrebbe invece ricondotta a un altro pericoloso gruppo del ramo finanziario sovietico conosciuto come Silence. In questo caso la corrispondenza quasi totale allo stile e al formato delle email della Banca Centrale Russa ha indotto i ricercatori a pensare che gli attori abbiano realmente accesso a messaggi di posta elettronica di questo genere o che abbiano comunque familiarità con gli ambienti bancari.

L’Europa è nel mirino di DarkGate una nuova campagna molto sofisticatabasata sull’omonimo malware. La minaccia colpisce endpoint Windows e sembra una derivazione dello spyware Golroted. Entrambe le minacce sfruttano due diversi metodi di infezione basati su file VBS distribuiti via Torrent che si spacciano per popolari film e serie TV.

 Si torna a parlare di Facebook. Una firma di sicurezza ha scoperto una vulnerabilità che affligge il browser Chrome e che potrebbe aver esposto i dati personali degli iscritti. Nello specifico è coinvolto il sistema Search quando vengono gestiti i risultati delle ricerche online. Sono esposti, fra gli altri, i like, le foto con particolari geolocalizzazioni, la presenza nella lista di amici localizzati in particolari regioni o che hanno specifici nomi e i post pubblicati contenenti un dato testo.

In ultimo, Il plugin di WordPress WP GDPR Compliance – utilizzato dagli amministratori di siti web e shop online per adempiere alle indicazioni del General Data Protection Regulation – è afflitto da una coppia di vulnerabilità già sfruttata in-the-wild. Lo sfruttamento delle stesse consente di prendere il controllo dei siti da remoto e acquisire i privilegi necessari per infettarne altri. Il plugin ha fatto registrare oltre 100.000 installazioni; il 7 novembre scorso la versione 1.4.2 è stata sostituita con l’upgrade corretto 1.4.3.

[post_tags]