Weekly Threats N. 21 2019

Stretta per Huawei. La messa al bando della compagnia cinese da parte degli USA induce altri colossi a limitare le collaborazioni. Tagliata fuori dall’implementazione della rete 5G negli Stati Uniti, la compagnia pagherà lo scotto anche dello stop della collaborazione con Google, la quale ha dichiarato che smartphone e altri dispositivi Huawei, venduti fuori dalla Cina, perderanno l’accesso agli aggiornamenti Android e non disporranno di alcuni servizi. Stando a quanto riportato da Bloomberg poi, anche i produttori USA di chip e microchip come Intel, Qualcomm, Xilix e Broadcom hanno deciso di congelare le forniture. Nel frattempo, anche l’intelligence olandese ha avviato investigazioni sulla presenza di backdoor nei dispositivi Huawei che sarebbero stati sfruttati dal Governo cinese.

Ennesima azione per Anonymous Italia, questa volta sotto l’hashtag #OpPulizia. Nel messaggio di rivendicazione – e di difesa del proprio operato – pubblicato sul blog ufficiale del gruppo si legge un’invettiva contro quelle che vengono definite “forze del Dis-Ordine”. I target scelti sono siti e portali di associazioni connesse a Polizia e Carabinieri. Come sempre, le informazioni rese pubbliche variano da sito a sito e comprendono database, tabelle e coppie di credenziali username e password, alcune delle quali in chiaro.

Nuova versione migliorata per il malware JasperLoader, che colpisce anche in Italia. Tra le nuove funzioni, un meccanismo di controllo della diffusione che consente agli attaccanti di verificare la presenza nei sistemi di sandbox o di antivirus e una migliorata connessione con il C&C. La distribuzione avviene attraverso servizi email certificate (PEC); i messaggi sono redatti in un italiano piuttosto incerto e fanno riferimento ad atti giudiziari. A differenza del passato recente, le email non contengono allegati, ma presentano link malevoli.

Due le operazioni rese note dall’Europol sul blog ufficiale. “Postbox II”, finalizzata al pattugliamento dei market attivati sia nel dark web che in Internet, è stata avviata nel marzo 2019 e ha comportato – tra i vari risultati – 2.320 sequestri.

Inoltre Il Dutch Fiscal Information and Investigation Service (FIOD) – a seguito di indagini condotte con l’Europol e le autorità del Lussemburgo – ha decretato la chiusura di Bestmixer[.]io, un servizio per bitcoin, bitcoin cash e litecoin che consente di anonimizzare le transazioni. Il servizio veniva sfruttato da numerosi criminali per nascondere i flussi di denaro esito di attività illecite.

Una nuova campagna, avviata nel mese di aprile 2019, del gruppo APT di matrice iraniana MuddyWater è stata battezzata “BlackWater” dal nome di una macro malevola impiegata dagli attaccanti (“Blackwater.bas“). Le vittime vengono raggiunte da email di phishing contenenti appunto un documento con macro malevole. Diversi fra i comandi utilizzati per raccogliere dati dell’host sembrano derivati da un progetto di GitHub chiamato FruityC2.

Rispetto alle vulnerabilità Slack, la popolare piattaforma di collaborazione aziendale, ha recentemente risolto un grave problema di sicurezza che consentirebbe a un attaccante di rubare e/o manipolare i file scaricati dalla vittima. La falla, che affligge la versione 3.3.7 dell’applicazione per Windows desktop, può essere sfruttata inducendo l’utente a cliccare su un link appositamente predisposto incollato su un canale Slack.

Una ricercatrice di sicurezza, conosciuta online con lo pseudonimo di SandboxEscaper, ha pubblicato in rete una serie di exploit. Il primo è uno 0-day di Windows 10 che consente di fare escalation dei privilegi locali e di acquisire quindi il controllo completo sui file riservati agli utenti con privilegi completi. La falla è sfruttabile importando un file di task di tipo legacy nell’utility di Windows Task Scheduler. Meno di 24 ore dopo la precedente comunicazione, la ricercatrice ha rilasciato gli exploit per due nuove vulnerabilità 0-day che Microsoft avrebbe poi dichiarato già corrette nel bollettino di maggio. Le due falle riguardano stavolta il servizio di Windows Error Reporting e il browser Internet Explorer 11. Infine sono stati pubblicati dalla stessa ricercatrice altri due exploit: uno sfrutta un bug di tipo “Installer Bypass” in Windows Update e il secondo una falla già nota e corretta nel bollettino Microsoft di aprile.

Relativamente ai data breach, si segnala la compromissione dei sistemi di TeamViewer, produttrice del popolare software di remote desktop. L’incidente è stato scoperto nell’autunno del 2016 ma la compagnia – che ha recentemente confermato l’accaduto al quotidiano tedesco Der Spiegel – non ne avrebbe dato notizia a causa delle conseguenze irrilevanti. Fonti diverse dichiarano invece che l’accesso non autorizzato risalirebbe al 2014 e sarebbe imputabile a gruppi cinesi che si servono della backdoor Winnti. Sempre nel 2016 la società ha diffuso un report che confermava l’interruzione dei servizi a causa di un attacco DoS contro l’infrastruttura dei server DNS. Già prima di allora erano stati realizzati poi attacchi di brute forcing contro account degli utenti della piattaforma al fine di rubare le credenziali di PayPal per sottrarre fondi.

Anche Instagram entra nell’occhio del ciclone. Recentemente è stato rilevato online un database non protetto – appartenente alla società indiana di media marketing Chtrbox, che corrisponde agli influencer un compenso per postare contenuti sponsorizzati – che ha esposto informazioni personali riguardanti circa 49 milioni di account, molti dei quali appartenenti a influencer, VIP e popolari brand.

Infine il vicepresidente del settore Engineering di Google, Suzanne Frey, ha dichiarato ieri che un errore di implementazione ha portato a memorizzare le password degli utenti di G Suite in chiaro per ben 14 anni. Il problema sembra sia dipeso da alcune feature antiquate nelle impostazioni manuali e nei servizi per il recupero delle password.