Weekly Threats N. 31 2019

Questa settimana, aziende ed enti italiani sono stati raggiunti da e-mail malevole nell’ambito di una campagna che distribuiva TrickBot, il noto malware bancario che negli ultimi tempi ha fatto registrare alti livelli di attività in numerosi paesi. Lo stesso malware ha fatto parlare di sé in questi giorni anche per il rilascio di una sua nuova versione, pensata per mettere fuori uso con sempre maggior efficacia i prodotti di sicurezza come Windows Defender.
Nuova versione anche per un altro noto bancario, Dridex, che è ora dotata di particolari funzionalità di code injection ed elusione della detection.

Torna poi a colpire con nuove campagne il malware Metamorfo, un bancario che colpisce in Brasile e che un gruppo cyber-criminale sta diffondendo in Sudamerica abusando di un eseguibile firmato dalla firma di sicurezza Avast.
Nuovi rilevamenti anche per MyDoom, che continua adessere impiegato in tutto il mondo con particolare intensità contro target localizzati in Cina e Stati Uniti.

Passando alle vicende salienti di geopolitica, segnaliamo questa settimana la scoperta di una vasta campagna di disinformazione attiva in Yemen almeno dal 2016 che si è servita di decine e decine di siti di notizie che imitano portali legittimi di media arabi con base nel Golfo Persico e nella Penisola Araba.

Non mancano poi le operazioni attribuite a noti APT state-sponsored: tra questi citiamo Barmanou, gruppo pachistano che ha colpito con il tool Revenge RAT, Gamaredon, gruppo russo che ha lanciato una campagna a tema NATO contro agenzie governative e della difesa in Ucraina, e Dropping Elephant, APT indiano che ha colpito organizzazioni governative e della difesa in Pakistan.
Citiamo inoltre due campagne che hanno mirato al settore energetico rispettivamente in Medio Oriente e negli Stati Uniti: la prima è stata attribuita al noto APT iraniano OilRig (Hexane) ed ha colpito sistemi ICS industriali nel settore petrolifero, del gas e delle telecomunicazioni; la seconda ha preso di mira il settore delle utility statunitense ma non ci sono certezze sulla sua attribuzione. Sono stati comunque rilevati alcuni punti in comune con un’operazione gestita da Stone Panda (APT10) in Giappone nel 2018.
Infine, anche l’area dell’Asia Centrale – e in particolare il Kazakistan – è stata vittima di una campagna, stavolta attribuita all’attore financially motivated Cobalt Group. Il gruppo ha infatti tentato di compromettere la rete dell’istituto di credito Kassa NovaBank con un documento malevolo curato nei dettagli e in cui compare il logo della banca in questione.

Nutrito il panorama dei breach di questa settimana: in primis un data breach ha colpito la holding bancaria specializzata in carte di credito Capital One Financial Corporation. In un comunicato ufficiale, si informa che il numero di utenti coinvolti si aggira intorno ai 100 milioni negli Stati Uniti e circa 6 milioni in Canada; per la maggior parte si tratta di piccole e medie imprese che hanno eseguito la registrazione fra il 2005 e il 2019. Fortunatamente, l’operazione malevola ha consentito all’attaccante di esfiltrare dati sensibili dei clienti ma non i numeri dei conti associati alle carte di credito e nemmeno le credenziali di accesso agli account.
Segnaliamo poi un breach che ha coinvolto circa 20.000 tra ufficiali e candidati del Dipartimento di Polizia di Los Angeles (LAPD) e un incidente che ha esposto oltre 86 milioni di record appartenenti ai clienti di YouHodler, una piattaforma per prestiti in criptovalute e conversione di moneta elettronica in valuta corrente.

Concludiamo con una vicenda che ha coinvolto il gruppo finanziario Nexi Spa, organizzazione italiana che fornisce servizi e infrastrutture per il pagamento digitale a banche, aziende, istituzioni e pubblica amministrazione. È stato infatti pubblicato sulla piattaforma Pastebin un complessivo di 6.200 record tratti da un database che sembra appartenere al gruppo. Nexi Spa ha però rilasciato una dichiarazione ufficiale in cui afferma che non sarebbero state rilevate compromissioni ai sistemi IT e molti dei dati pubblicati non corrisponderebbero a quelli posseduti dalla Nexi.

Oltre ai bollettini di aggiornamento per Chrome, LibreOffice e FortiOS, segnaliamo questa settimana una serie di 11 vulnerabilità critiche scoperte da un gruppo di ricercatori che li ha raccolti sotto l’eloquente nome di “Urgent/11“.Le falle riguardano VxWorks, il real time operating system (RTOS) per sistemi Unix distribuito dalla statunitense Wind River e adottato in tutto il mondo in vari settori.
Inoltre, Symantec Endpoint Protection Manager versione 14 (14 MP1) .2 build 1023 (14.2.1023.0100) è affetto da una vulnerabilità di tipo DLL preloading sfruttabile per elevare i propri privilegi e per cui è stata pubblicata anche una Proof-of-Concept.