Weekly Threats: N. 10 2019

Anche questa settimana sul fronte minacce si continua a parlare di Anonymous Italia che si è attivato su vari fronti. Nell’ambito di #OpGreenRights, gli hacktivisti denunciano lo spreco di denaro per la ricerca sul nucleare e chiedono di destinare tali fondi a ricerche mirate a limitare il cambiamento climatico e aumentare il ricorso a energie rinnovabili. Sono stati messi a segno 8 dump ai danni dei portali di enti e società impegnate in questo settore. In occasione della Festa della donna il collettivo ha prima annunciato e poi realizzato i una nuova azione indirizzata al Sindaco di Roma @virginiaraggi. Gli anonymi stavolta hanno compromesso i sistemi della Motorizzazione Civile (MIT) e hanno reso nota una serie di 333 combinazioni di nome utente, password hashata ed email appartenenti ai dipendenti.
Inoltre, sul piano internazionale Anonymous ha ripreso la campagna #OpIsrael, lanciata da a partire dal 7 aprile 2013 contro siti governativi e privati dello Stato di Israele, come forma di protesta contro le politiche condotte nell’ambito del conflitto con la Palestina. In particolare il sito web nagish[.]co[.]il è stato vandalizzato con il messaggio “#OpJerusalem, Jerusalem is the capital of Palestine” ed è stato sfruttato per distribuire un ransomware che tuttavia, essendo mal compilato, non è risultato dannoso.

Non cala l’attenzione su Ursnif, protagonista di una nuova ondata di malspam che sta colpendo utenti italiani. I messaggi di posta, scritti in italiano, si spacciano per comunicazioni di sedicenti avvocati. Per eludere i sistemi antispam le email adottano sistemi come l’inserimento di testo invisibile e l’abuso di Google Drive. Inoltre – sempre relativamente al trojan bancario – si registra un’altra campagna di phishing che si avvale di un documento Microsoft Word con macro malevole inserito in un archivio ZIP con password. Il documento scarica l’eseguibile della minaccia da una risorsa remota attraverso dei PowerShell. L’infrastruttura di rete viene cambiata regolarmente a intervalli anche molto brevi – meno di 12 ore.

Amnesty International ha poi denunciato una serie di campagne di spear-phishing mirate contro organizzazioni non governative e operatori del settore dei media in Egitto. Secondo il report reso noto in questi giorni, le vittime, che hanno denunciato le politiche dell’attuale Governo del Cairo, sono state raggiunte da alert fasulli di Gmail che le hanno indotte a inserire le proprie credenziali su form malevoli.

Una nuova backdoor – battezzata SLUB – si avvale della piattaforma Slack e GitHub per le comunicazioni col C&C. Le operazioni che può svolgere comprendono le seguenti: eseguire comandi via cmd.exe, scaricare file, cancellare il malware dal disco tramite uno script batch, fare screenshot. Inoltre, può tra le altre cose: elencare, copiare, cancellare file. I file che si procura vengono caricati sul sito file[.]io e resi disponibili per il download da parte degli attaccanti tramite Slack.

Ricercatori di sicurezza hanno inoltre rilevato un’ampia campagna di phishing attiva almeno dal 2017 relativa a Office 365. Vettore dell’infezione sono messaggi di posta inviati da indirizzi email fake contenenti link diretti o allegati PDF con link che mirano a far inserire alla vittima le proprie credenziali su una finta pagina di Office 365.

È stato battezzato Whitefly il threat actor responsabile dell’attacco di giugno 2018 contro i sistemi del gruppo SingHealth (Singapore Health Services). Gli attaccanti si avvalgono di malware custom, tool open source e script PowerShell malevoli. La catena d’infezione viene avviata da operazioni di spear-phishing. Per le attività di spionaggio su più macchine compromesse Whitefly si avvale dell’hacking tool open source Termite. Nel suo arsenale compare anche il trojan Nibatad. 

Relativamente alle vulnerabilità, è stato segnalato uno 0-day che affligge il kernel ibrido XNU adottato dal sistema operativo Darwin che è la base di macOS. Il problema riguarda la funzionalità copy-on-write, finalizzata all’ottimizzazione delle risorse. Un eventuale attaccante può avvalersene per modificare uno dei filesystem e forzare l’upload in memoria di codice arbitrario. Infine una vulnerabilità di alto impatto affligge il browser Chrome ed è stata corretta con il rilascio della versione 72.0.3626.121 per Windows, macOS e Linux. 

Rispetto ai data breach, Dalil, il caller ID per Android che fornisce servizi simili a Truecaller ad utenti della regione saudita, ha lasciato esposte online le informazioni di oltre 5 milioni di utenti. Ricercatori di sicurezza hanno infatti scoperto un database MongoDB del provider, che risulta ancora accessibile online senza necessità di autenticazione, contenente dati per un totale di 585,7GB. Fra di essi vi sono dettagli di registrazione degli utenti, dettagli del dispositivo e delle chiamate individuali, operatore e coordinate GPS.