Weekly Threats: N. 12 2019

Anche questa settimana si torna a parlare di Ursnif. Utenti italiani sono infatti target del trojan bancario attraverso una campagna che sta sfruttando messaggi di posta elettronica con allegati malevoli XLS. I file Excel si spacciano per fatture.

Attività anche per Anonymous Italia. Questa volta il collettivo dichiara, sul profilo Twitter @LulzSec_ITA, di aver scoperto che il sito visureitalia[.]com ha lasciato esposti online i dati di 46.604 utenti. Come prova del fatto, gli hacktivisti hanno pubblicato uno screenshot dell’excel contenente user ID, nome, codice fiscale, indirizzo fisico, CAP, città, telefono fisso e mobile, email, username e password di una quarantina di persone.

Secondo ricercatori di sicurezza, membri dell’industria aeronautica che utilizzano un particolare modello di velivolo sarebbero invece vittime di una campagna di spear phishing. 
L’utente viene indotto ad aprire un documento ospitato su Google Drive che dà il via all’esecuzione di uno script PowerShell e carica un file .NET da un URL remoto. Questo inietta infine il payload del RAT NetWire all’interno di un eseguibile legittimo di Microsoft sfruttando il process hollowing senza bisogno di inscrivere il codice del malware nella memoria (tecnica fileless).

Due nuovi attacchi riconducibili invece al threat actor Magecart hanno recentemente preso di mira il produttore di guanciali MyPillow e quello di materassi Amerisleep. In entrambi i casi sono stati compromessi i siti di e-commerce e quindi sono implicati solo i pagamenti online, e non le transazioni fisiche.

Recentemente è stata analizzata una campagna di lungo corso ribattezzata Bad Tidings che ha mietuto numerose vittime in Arabia Saudita. L’operazione, iniziata a novembre 2016, era mirata principalmente a carpire credenziali di privati cittadini che visitavano i portali web di specifiche istituzioni, oltre a utenti della Saudi British Bank. Negli ultimi mesi, gli attaccanti si sono serviti in particolare di sofisticate pagine di phishing pensate per riprodurre il portale e-Service del Ministero dell’Interno saudita Absher. Al momento non è stata fatta un’attribuzione certa, ma secondo i ricercatori gli attaccanti sarebbero di tipo cyber-crimine e l’operazione financially-motivated.

La celeberrima vulnerabilità di WinRAR (CVE-2018-20250) sarebbe invece sfruttata da APT-C-27 per attacchi in Medio Oriente. La compagine, nota anche come Goldmouse, inserisce negli archivi documenti Word di spear phishing sul tema degli attacchi terroristici. La catena d’infezione si basa sulla successione dell’exploit, di una backdoor di primo livello e poi del payload finale. Questo può essere la backdoor per sistemi Windows njRAt, oppure diverse applicazioni malevole per Android mirate su specifici target.

Infine la norvegese Hydro, uno dei maggiori produttori di alluminio al mondo, ha notificato di essere caduta vittima di un cyber-attacco, con impatto su diverse aree di business della compagnia. Coinvolte le fonderie localizzate in Norvegia, Qatar e Brasile, inoltre in alcuni piccoli impianti sono state interrotte le estrusioni dei metalli. Stando agli ultimi dettagli trapelati, l’incidente alla Hydro è riconducibile al ransomware già noto come LockerGoga. Secondo il CERT norvegese l’attacco avrebbe coinvolto l’insieme di servizi di rete Windows Active Directory.

Rispetto alle vulnerabilità si segnala la risoluzione della falla Denial of Service nei confronti di Fizz protocollo TLS di Facebook. Inoltre è stato pubblicato il bollettino di sicurezza che corregge diverse vulnerabilità di Firefox 66, di cui molte considerate critiche.

Relativamente ai data breach, dopo un mese di silenzio torna a far parlare di sé Gnosticplayers, l’individuo pachistano che ha caricato in rete i dati personali di centinaia di milioni di utenti provenienti da decine di portali. Anche questa volta, sono state pubblicate informazioni relative a 26 milioni di account prelevate da 6 diversi siti web. L’enorme dump, il quarto ormai, è in vendita su Dream Market per circa 5.000 dollari (1,2421 Bitcoin).