Weekly Threats: N. 15 2019

Il nome di Assange, fondatore di WikiLeaks, torna alla ribalta anche questa settimana. Nella giornata di ieri l’uomo è stato arrestato a Londra. L’arresto non arriva però inaspettato: già la settimana scorsa Wikileaks aveva pubblicato un Tweet in cui si affermava che Assange sarebbe stato espulso a breve dall’ambasciata dell’Ecuador in cui viveva da circa 7 anni, a causa della pubblicazione degli INA Papers. Secondo l’organizzazione la revoca del diritto di asilo stabilita dall’Ecuador violerebbe le leggi internazionali.

Riflettori anche su Exodus, lo spyware per Android che ha anche una variante per iOS. Exodus per sistemi iOS viene distribuito attraverso pagine di phishing che spoofano l’assistenza tecnica di gestori mobile in Italia e Turkmenistan; la distribuzione fuori dall’Apple Store è stata possibile abusando dell’Apple Developer Enterprise. Le applicazioni malevole richiedono alle vittime di mantenersi connesse ad una rete WiFi.

In Italia il trojan bancario Ursnif continua a mietere vittime attraverso una nuova campagna di malspam. Il codice delle macro malevole dell’allegato distribuito stavolta risulta offuscato con il cifrario Vigenère; il PowerShell addizionale è lanciato abusando delle funzioni di Windows Management Infrastructure (WMI) e sfruttando tecniche steganografiche.

Ricercatori di sicurezza hanno recentemente reso noto di aver rilevato il malware noto come Triton (Trisis), già sfruttato una volta per compromettere gli ICS di uno stabilimento petrolifero saudita, su un’altra infrastruttura critica. La minaccia è stata precedentemente attribuita ad un gruppo state-sponsored collegato al governo russo e identificato come TEMP.Veles. Per aver accesso alle reti, gli operatori di Triton sembra abbiano utilizzato almeno una dozzina di intrusion tool personalizzati e alcuni altri noti, come Mimikatz. La maggior parte di questi sono pensati perlopiù per fare ricognizione, facilitare il movimento laterale e ottenere persistenza. La persistenza nella rete infetta ha consentito agli attaccanti di impiantare un’ulteriore backdoor grazie alla compromissione di una postazione di lavoro di SIS engineering.

La botnet nota come GoBrut o StealthWorker – associata al panorama Magecart – è stata tracciata in una nuova variante ELF per colpire sistemi Unix. La minaccia viene sfruttata per attacchi di brute forcing contro server che adottano Content Management Systems (CMS), come ad esempio WordPress; Database MySQL e Postgres e verso tool di amministrazione. Gli hosting più colpiti sono Digital Ocean, AWS e anche Google Cloud. Fra gli exploit sfruttati vi sono quelli per CVE-2018-15473 di OpenSSH e CVE-2017-5487 di WordPress.

Milioni di dollari sono stati sottratti al wallet per bitcoin Electrum. I suoi server sono infatti stati raggiunti da un attacco DDoS. L’operazione, che ha toccato picchi di 25 Gb per secondo, è stata condotta mediante una botnet di oltre 140.000 macchine. A seguito dell’interruzione del servizio, le vittime sono state indotte a scaricare un aggiornamento fake del client e a connettersi a server malevoli.

Rispetto alle vulnerabilità, è stato scoperto un bug in Mi Browser e Mint Browser sui dispositivi Xiaomi. La vulnerabilità, tracciata con codice CVE-2019-10875, è determinata dalla gestione non appropriata del parametro “q” (query) che determina una visualizzazione incompleta delle URL nella barra di navigazione. Ciò consente di spoofare indirizzi legittimi e dirottare le vittime su siti malevoli.

A meno di un anno dal lancio del protocollo WPA3, il nuovo standard di sicurezza per reti WiFi, emergono alcune serie vulnerabilità che consentirebbero ad un attaccante di rubare la password per la rete WiFi. In un report pubblicato ieri e battezzato DragonBlood, i ricercatori hanno descritto una serie di bug che consentono di lanciare attacchi di tipo downgrade, partitioning e DoS.

Questa settimana sono stati rilasciati aggiornamenti di sicurezza per prodotti SAP, Adobe e Siemens. Inoltre, nel bollettino mensile di Microsoft sono stati corretti due 0-day già sfruttati in the wild (CVE-2019-0803 e CVE-2019-0859); entrambe le falle sono causate dal modo in cui il componente Win32k di Windows gestisce gli oggetti in memoria e consentono ad un attaccante autenticato di eseguire codice arbitrario in modalità kernel, installare programmi, leggere, modificare o cancellare dati e creare nuovi account.