Weekly Threats: N. 07 2019

Sul versante minacce la scorsa settimana è stata registrata una campagna di phishing che ha colpito fra gli altri utenze della Pubblica Amministrazione italiana. L’email utilizzata dagli attaccanti si è spacciata per un comunicato del servizio clienti di Aruba.

Email di spam a tema DHL sono invece mezzo di una campagna di distribuzione del trojan AZORult. Analisi condotte sulla campagna hanno consentito di rilevare che oltre ad esso gli attaccanti hanno sfruttato anche un payload di GootKit. La catena d’infezione è stata avviata da archivi allegati alle email di spam contenenti un JavaScript capace nella maggior parte dei casi di eludere software antivirus. Un’altra campagna di malspam, associabile a quella di cui sopra, ha distribuito ancora il malware GootKit. Il messaggio di posta sfruttato in questo caso dagli attaccanti è scritto in un italiano incerto, si spaccia per una comunicazione del corriere GLS e invita le potenziali vittime a scaricare un allegato. 

Nell’ambito di una campagna già tracciata, anche il trojan bancario Ursnif continua a mirare a target italiani. Sono stati inviati in forma massiva messaggi di posta elettronica recanti oggetto “avviso di pagamento” o “fattura corretta” e contenenti un allegato XLS malevolo con filename variabile. Il file risulta essere il downloader di Ursnif e viene attivato nel momento in cui le vittime ne abilitano le macro.

Utenze italiane risultano inoltre tra le vittime di una campagna di malspam che sta distribuendo il trojan noto come DanaBot sfruttando il consueto tema del pagamento di fatture.

Torna inoltre a colpire, con le due azioni di #OpGreenRights e #OpSardegna, Anonymous Italia. Nel primo caso il collegamento è con il tema della protezione dei lupi, che potrebbe essere riveduta da future nuove politiche ambientali. Nel secondo l’azione è legata alla questione della produzione del latte in Sardegna. In entrambe le operazioni, e come di consueto, i dati sottratti variano sensibilmente da sito a sito e comprendono complessivamente nomi degli utenti, posizione all’interno del sistema, email, username, password hashata e in chiaro, database e relative tabelle, indirizzi IP, CAP, indirizzi fisici.

Spostando l’attenzione al panorama internazionale, in Venezuela il portale dei “Voluntarios por Venezuela” – che ha come obiettivo quello di facilitare gli aiuti di tipo umanitario nel Paese – è stato sfruttato per un attacco di phishing basato sulla tecnica della manipolazione del server DNS. Lo scorso 6 febbraio è stato messo online un sito web finalizzato alla raccolta di adesioni al movimento; l’11 febbraio è comparso un portale molto simile a quello originale, per nome e struttura, che però aveva un diverso registrar e un differente servizio di hosting. Fatto rilevante, però, è che dall’interno del Paese entrambi puntavano allo stesso IP, cioè quello del dominio fake.

Infine il Dipartimento di Giustizia statunitense (DoJ) ha rilasciato un comunicato stampa in merito all’incriminazione di un’ex agente del controspionaggio USA. Monica Elfride Witt, di 39 anni, è accusata di aver collaborato con l’intelligence iraniana per l’organizzazione di cyberattacchi contro il proprio Paese e per aver rivelato informazioni riguardanti una missione segreta dello U.S. Department of Defense Special Access Program. Insieme a lei sono coinvolti anche 4 iraniani.

Relativamente alle vulnerabilità, questa settimana sono stati rilasciati importanti aggiornamenti di sicurezza per prodotti Microsoft, Mozilla, Adobe, Cisco, SAP, Joomla! e Intel.

Rispetto ai data leak sembra che recentemente ne sia stata interessata la Croce Rossa Italiana, con l’esposizione di numerosi account. Sono coinvolti oltre 1.800 account fra quelli del portale ufficiale cri.it (1.658) e di altri registrati su domini non ufficiali.

Infine, dettagli relativi a circa 620 milioni di account sono stati messi in vendita sul dark web per meno di 20.000 dollari in Bitcoin. Si tratta in particolare di informazioni appartenenti a utenti iscritti a 16 portali compromessi. All’interno del database in vendita su Dream Market, composto comunque da dati raccolti in data breach precedenti, compaiono nomi, indirizzi di posta elettronica e password in formato hash. Solo in alcuni casi isolati sono presenti anche dettagli personali e token di autenticazione per social media. Gli attori – conosciuti in rete come Gnosticplayers – hanno pubblicato a distanza di pochi giorni un secondo stock di dati provenienti da 8 diversi siti compromessi, per un totale di 127 milioni di account provenienti dai diversi portali.