Questa settimana è stata caratterizzata da diverse campagne cybercrime, alcune delle quali hanno colpito anche in Italia.
Utenze PEC della Pubblica Amministrazione sono state raggiunte da un’ondata di malspam finalizzata a distribuire il trojan bancario GootKit, mentre le PEC dell’Ordine degli Ingegneri di Roma sono fra i target del downloader sLoad. Quanto al trojan bancario Ursnif, si segnalano evoluzioni nelle tecniche di diffusione e di infezione che denotano una sempre maggiore attenzione degli attaccanti per la selezione delle vittime.

L’Europa è stata teatro di un’operazione basata sull’exploit della nota vulnerabilità di Equation Editor CVE-2017-11882 – che ha mirato a infettare i computer con un trojan bancario – ed è fra i target di un attacco molto più articolato e complesso firmato da un gruppo russofono. In questo secondo caso gli analisti hanno rilevato l’impiego di tecniche di phishing finalizzate all’infezione dei sistemi e anche della cosiddetta “CEO fraud”, simile alla BEC (Business Email Compromise), che induce i dipendenti delle compagnie ad autorizzare pagamenti diretti sui conti dei criminali.

Torna sulle scene un gruppo individuato con la sigla FIN8, specializzato nella compromissione dei sistemi di pagamento PoS mediante una sofisticata backdoor battezzata ShellTea; invariata la platea delle vittime, che comprende perlopiù compagnie del settore alberghiero, del retail e dell’intrattenimento.

Sul versante APT, continuano le indagini intorno al gruppo di matrice iraniana MuddyWater, coinvolto insieme ad OilRig in un recente leak di informazioni: gli analisti ne stanno mettendo in luce un arsenale di minacce che si rivela di volta in volta più nutrito e sofisticato.

Ammonta a 10 milioni di dollari in valuta elettronica Ripple (XRP) il bottino raccolto grazie alla compromissione di oltre 100 account del wallet GateHub; la compagnia che ne gestisce le attività ha confermato il fatto, ma non ha fornito informazioni su come sia avvenuto il furto.

L’applicazione di messaggistica istantanea Telegram è stata raggiunta da un potente DDoS i cui maggiori effetti hanno investito soprattutto coste orientali di Nord e Sudamerica. Il CEO della compagnia ha suggerito un collegamento tra questo fatto e i disordini politici di Hong Kong; sembra infatti che i manifestanti abbiano usato proprio Telegram per comunicare in modalità protetta e organizzare la protesta contro un piano di Pechino che consentirebbe le estradizioni dal territorio semi-autonomo alla terraferma. Altre ipotesi, comunque, non escludono il coinvolgimento dei Governi brasiliano, russo o cinese.

Il popolare server di posta elettronica open source Exim è risultato affetto da un bug, chiamato da una firma di sicurezza “The Return of the WIZard”, che consente di eseguire comandi arbitrari da remoto (CVE-2019-10149); sebbene sia disponibile la relativa correzione, i server ancora vulnerabili sono stati censiti nell’ordine degli oltre 3,5 milioni in tutto il mondo e sono esposti ad una serie di attacchi lanciati a partire dal 9 giugno scorso da almeno due diversi attori; le aree maggiormente impattate sono l’America del Nord, l’Europa, la Turchia e Singapore.

Numerosi i bollettini pubblicati dalle maggiori firme di software, nessuno però riguardante particolari 0-day o falle eventualmente sfruttate in the wild. Microsoft ha rilasciato gli aggiornamenti del Patch Tuesday, programmato per ogni secondo martedì del mese. Adobe ha risolto diversi bug critici in Flash Player, ColdFusion e Campaign. Intel, con i suoi 11 advisory, ha segnalato interventi per un totale di 88 bug, fra cui 19 critici. Aggiornamenti anche per Mozilla: risolti 4 bug, di cui 3 critici, in Thunderbird e uno di media entità in Firefox.

EMAIL WEEKLY

Aggiornati velocemente con il nostro weekly threats in email

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi