Weekly Threats: N. 14 2019

Sul versante minacce un nuovo spyware per sistemi Android – di produzione italiana e battezzato dagli analisti Exodus – è stato caricato sul Google Play Store, spacciandolo per servizi di operatori di telefonia mobile. Le vittime sono tutte italiane e sono state indotte a scaricare le app da SMS malevoli. Si sospettano oltre mille infezioni. La minaccia è stata implementata dalla compagnia specializzata in videosorveglianza eSurv, con base a Catanzaro. Nella seconda variante (Exodus Two) in cui il malware è disponibile può procurarsi, tra le varie informazioni, registrazioni audio, cronologia di navigazione e segnalibri di Chrome e SBrowser, eventi del calendario, registrazione delle chiamate telefoniche, fotografie, elenco dei contatti della rubrica e di Facebook, screenshot di qualsiasi applicazione; dati di Gmail, Messenger, Telegram, Viber, WhatsApp, WeChat e di Skype; infine può procurarsi la password del wi-fi e le coordinate GPS.

Target italiani anche per una campagna che sta veicolando Agent Tesla. Gli attaccanti stanno inviando email che contengono in allegato un file Excel con macro malevole. Le informazioni carpite da Agent Tesla comprendono nome del computer, utente, OS, CPU, RAM, IP e le credenziali dei browser Firefox, Seamonkey, Flock, Thunderbird, PostBox, Chrome. Le 11 varianti del malware tracciate dispongono ciascuna di un diverso server SMTP, utilizzato per l’invio al C&C delle informazioni esfiltrate.

Una nuova ondata di malspam ha invece distribuito la versione 5.2 del ransomware GandCrab. Tra le vittime si contano soprattutto compagnie del settore high-tech localizzate in Europa (Italia compresa). Il ransomware risulta impacchettato con UPX ed è in grado di rilevare i seguenti prodotti di sicurezza: Kaspersky, ESET, AntiVir, Avast, Norton, McAfee, Panda, Sygate Firewall, Kerio Personal Firewall, Trendmicro, F-Secure, Comodo, Windows Defender. 

Nuovi dettagli emergono rispetto alla campagna basata sul trojan bancario GootKit, che sta colpendo l’Italia. L’attacco risulta ancora in corso e gli attori hanno nel frattempo ruotato l’infrastruttura per la distribuzione. Vettore di infezione sono state anche email con oggetto “INAIL Comunica”, che hanno raggiunto, fra le altre, utenze PEC di privati cittadini. La minaccia utilizza l’host compromesso per ridistribuire le email malevole ad una serie di indirizzi indicati dal C&C, grazie ad un server IMAP – probabilmente compromesso e italiano.

Una recente indagine si è poi concentrata sugli “stalkerware“, cioè quei programmi di sorveglianza commerciali per Android che, sebbene non siano veri e propri malware, possono essere sfruttati anche a fini malevoli. Gli stessi consentono di sottrarre dati personali come localizzazione del dispositivo, SMS, messaggi scambiati sui social media e di ricevere aggiornamenti in tempo reale dalla videocamera e dal microfono. 

Recentemente è stato reso noto che i sistemi del gigante farmaceutico tedesco Bayer sarebbero stati compromessi dall’APT di matrice cinese Axiom. In particolare, Axiom avrebbe puntato a penetrare le interfaccia Intranet-Internet e i sistemi di autorizzazione e autenticazione. Sebbene al momento non sia stata rilevata alcuna perdita di dati, gli inquirenti non dubitano del fatto che si tratti di un vero e proprio attacco mirato.

Diversa la sorte per Bithumb – exchange di criptovaluta sudcoreano – vittima di una compromissione da circa 19 milioni di dollari. 

Rispetto alle vulnerabilità, la versione 2.4.39 di Apache corregge sei bug di cui tre sono considerati ad alto impatto. Quello ritenuto più pericoloso è stato identificato con CVE-2019-0211 e consentirebbe ad un attaccante con privilegi ordinari di eseguire codice arbitrario con privilegi di root sul server target. 

Su Twitter un ricercatore di sicurezza ha pubblicato i dettagli e la proof-of-concept per due 0-day non risolti riguardanti i browser di Microsoft Edge e Internet Explorer. Entrambi i bug, segnalati alla compagnia senza che sia stato preso alcun provvedimento, consentirebbero ad un attaccante di bypassare la SOP (Same Origin Policy), una feature di sicurezza utilizzata dai browser moderni per impedire ai siti non collegati di interferire l’uno con l’altro.

Aggiornamenti di sicurezza anche per Android, che ha pubblicato il bollettino di marzo; come di consueto, le patch sono state rilasciate in due tranche, schedulate per i giorni 1 e 5 del mese.  

Riguardo ai data breach, ancora una volta Facebook si trova a fronteggiare un incidente informatico di enormi dimensioni che ha esposto i dati di oltre mezzo miliardo di suoi utenti. In particolare, è stato rilevato in rete un server cloud Amazon non protetto contenente i dati di 540 milioni di individui. I server non sono stati esposti direttamente da Facebook, ma dagli sviluppatori di applicazioni di terze parti che li hanno conservati in modo insicuro.

Un data breach ha esposto i dati di 3,1 milioni di clienti giapponesi della casa automobilistica Toyota. L’accesso non autorizzato è stato rilevato lo scorso 21 marzo su un server contenente dati personali tra cui nomi, indirizzi, date di nascita, occupazione e via dicendo. Non risulterebbero invece a rischio le informazioni bancarie. 

Inoltre, il Georgia Institute of Technology, uno dei più importanti centri di ricerca tecnologica negli Stati Uniti, ha reso noto ieri che attaccanti non identificati sono riusciti ad accedere ad un loro database contenente dettagli relativi a 1,3 milioni di persone.

Si torna infine a parlare di Assange. Wikileaks ha pubblicato un post su Twitter in cui si afferma che il fondatore dell’organizzazione sarà espulso a breve dall’ambasciata dell’Ecuador a Londra, in cui vive da circa 7 anni. L’espulsione sarebbe giustificata ufficialmente dalla pubblicazione da parte di Wikileaks dei cosiddetti INA Papers, documenti che proverebbero l’esistenza di un’organizzazione criminale gestita dal Presidente dell’Ecuador Lenin Moreno Garcés.