Weekly Threats N. 27 2019

Questa settimana in Italia segnaliamo nuove attività basate sul trojan bancario Ursnif: è stata infatti tracciata l’ennesima campagna di diffusione del malware che si è servita di messaggi di posta elettronica cui è allegato un documento Excel con macro malevole. L’operazione non era però mirata esclusivamente contro utenti italiani; sono da annoverare fra i target anche portoghesi, lituani, tedeschi e altri.

Passando alla scena internazionale, citiamo un’indagine frutto della collaborazione tra diverse testate giornalistiche da cui è emerso che le autorità cinesi stanno segretamente installando l’app di sorveglianza Feng Cai o BXAC sugli smartphone di alcuni turisti stranieri. Si tratta in particolare di visitatori che oltrepassano il confine tra il Kirghizistan e la regione dello Xinjiang, un territorio autonomo in cui vivono numerosi gruppi musulmani considerati minoranze etniche. L’applicazione è in grado di individuare oltre 73.000 file predefiniti associati ai gruppi estremisti islamici tra cui flyer di reclutamento per l’ISIS, istruzioni per la costruzione di bombe e immagini di esecuzioni capitali.

In Libia è stata rilevata invece una campagna di vaste dimensioni denominata “Operation Tripoli” che ha sfruttato pagine Facebook e tecniche di ingegneria sociale basate su temi relativi alla difficile situazione del Paese per diffondere minacce di vario genere.

Clima di tensione si respira poi fra Isreale e Mosca: da inizio giugno,infatti, il segnale GPS dell’aeroporto israeliano Ben Gurion è stato oggetto di attività di jamming che, a detta delle autorità aeroportuali, avrebbero avuto un impatto significativo sulle operazioni interne dell’aeroporto. Alcuni elementi hanno portato Israele a puntare il dito contro la Russia la quale, dal canto suo, ha rigettato tutte le accuse liquidando la questione come “fake news”.

Per concludere la rassegna di notizie dal mondo, segnaliamo un alert diffuso dal cyber-commando USA USCYBERCOM in cui si rende noto l’utilizzo in-the-wild di una vulnerabilità di Microsoft Outlook da parte del gruppo iraniano APT33. Secondo quanto dichiarato, gli attaccanti si sarebbero serviti della falla identificata con CVE-2017-11774 per aprire una breccia nei sistemi target e avrebbero poi distribuito malware attraverso un dominio da loro controllato. Il bug, risolto da Microsoft a ottobre 2017, è di tipo security feature bypass e consente di eseguire comandi arbitrari sulla macchina vulnerabile.

Per il settore vulnerabilità, diamo notizia dei più importati bollettini pubblicati questa settimana: si tratta di Android, che ha risolto 33 bug di cui 9 considerati critici; Cisco, che ne ha risolti 18 di cui 10 ad alto impatto e Magento, che rilascia le versioni aggiornate della propria soluzione per e-commerce per correggere 75 vulnerabilità di vario genere, ma principalmente di tipo RCE.

Problemi di sicurezza anche per Mozilla: un ricercatore ha infatti pubblicato un video PoC per dimostrare che il browser Firefox è afflitto da un bug che consentirebbe di rubare file da un dispositivo target. Sebbene il problema sia noto da anni, la sua combinazione con un attacco clickjacking e un bug di “context switching” consentirebbe automaticamente di ottenere l’elenco di tutti i file che si trovano nella stessa cartella in cui è stato scaricato un HTML malevolo, leggere il contenuto dei file utilizzando l’API di recupero e infine inviare i dati raccolti ad un server remoto tramite richieste HTTP.

In conclusione, due casi di data breach hanno coinvolto un alto numero utenti. In primis, quello di Attunity, una società che si occupa di integrazione e gestione di big data, e che ha esposto le informazioni personali di numerosi clienti di Fortune 100, della Toronto-Dominion Bank (TD Bank), di Ford e di Netflix. Nel database in questione compaiono poi anche dati aziendali altamente sensibili tra cui corrispondenza via mail, password di sistema, informazioni di contatto per vendite e marketing, specifiche di progetto e molto altro.