Questa settimana in Italia sono state tracciate due campagne basate su email malevole che hanno distribuito, rispettivamente, il celeberrimo trojan bancario Ursnif e il RAT Remcos. Nel primo caso i messaggi si fingevano comunicazioni relative a sentenze legali, nell’altro imitavano segnalazioni dell’Ufficio delle Dogane.
A livello internazionale, invece, si distingue, fra le diverse operazioni di cyber spionaggio di matrice governativa, quella condotta dal gruppo nordcoreano Kimsuki contro i Ministeri degli Affari esteri di diverse Nazioni, 4 istituti di ricerca e alcuni provider di email. Spiccano fra tutti il Ministero per l’Europa e gli Affari Esteri (MEAE) francese, ma compaiono fra i target anche la Stanford University, il Royal United Services Institute (RUSI), un think tank con base nel Regno Unito, il Congressional Research Service (CRS), un think tank con base negli Stati Uniti.
Di diversa natura le questioni che hanno coinvolto il Kazakistan. L’iniziativa presa in luglio – e poi, a detta delle Aurotità, ritirata – di mettere sotto controllo in modo coatto tutto il traffico internet del Paese non è stata accolta con entusiasmo a livello internazionale. Così, come misura di protezione della privacy dei propri utenti, Apple, Google e Mozilla hanno deciso di bloccare il certificato SLL root CA imposto dal Governo.
Si riaccende anche la questione riguardante la disinformazione di Stato. I social network Facebook e Twitter hanno intrapreso nuove operazioni di vera e propria “ripulitura”, volte a limitare ondate di notizie fuorvianti provenienti dalla Cina. In occasione delle proteste organizzate ad Hong Kong, Pechino ha infatti diffuso informazioni fasulle e tendenziose tramite migliaia di account, pagine, gruppi che ora sono stati disattivati.
Due sono i casi di vulnerabilità in prodotti software popolarissimi, la cui natura si è rivelata, a una indagine accurata, ben più articolata. Il primo coinvolge l’antivirus di Kaspersky; l’ID unico che il prodotto inietta nelle pagine web visitate dagli utenti è di fatto una preziosa arma di tracciamento sfruttabile anche da terze parti. Alla pubblicazione del problema da parte di un ricercatore (CVE-2019-8286) è seguita la revisione del meccanismo, ma restano ancora dubbi sulla messa in sicurezza del prodotto, nonostante le rassicurazioni rilasciate sul blog ufficiale della compagnia russa.
Gravissimo, inoltre, il caso del popolare system administrator tool Webmin. Quella che era sembrata una vulnerabilità 0-day di tipo RCE (CVE-2019-15107), già di per sé molto pericolosa, si è scoperta essere una vera e propria backdoor, vale a dire uno strumento che gli amministratori del progetto hanno intenzionalmente inserito nei pacchetti per il download senza darne alcuna segnalazione.
Doppietta anche per la pratica malevola – abbastanza frequente – di sfruttare repository pubblici al fine di distribuire minacce. All’interno di Ruby Gems è stata individuata una versione vecchia e modificata – trasformata di fatto in un infostealer – del pacchetto “rest-client”, probabilmente sottratta ad un utente che non aveva protetto in modo adeguato il proprio account. Le indagini che ne sono scaturite hanno consentito l’individuazione e la cancellazione di altre librerie malevole. Node Package Manager (npd) ospitava invece il pacchetto “bb-builder”, che conteneva il tool di password recovery WebBrowserPassView; giunto alla versione 1.0.6, ma scaricato probabilmente solo un centinaio di volte, bb-builder è stato eliminato.
Chiudiamo la nostra rassegna con un incidente occorso ai sistemi dell’Integrated Reporting Dictionary (BIRD) della Banca Centrale Europea (BCE). L’installazione nel server esterno che ospita il sistema per la produzione di report statistici della BCE avrebbe consentito ad attaccanti ignoti di esfiltrare nome, email, posizione lavorativa di 481 iscritti alla newsletter.
EMAIL WEEKLY
Aggiornati velocemente con il nostro weekly threats in email
Montly threats
- Febbraio 2020 (2)
- Gennaio 2020 (5)
- Dicembre 2019 (5)
- Novembre 2019 (6)
- Ottobre 2019 (4)
- Settembre 2019 (4)
- Agosto 2019 (5)
- Luglio 2019 (4)
- Giugno 2019 (4)
- Maggio 2019 (5)
- Aprile 2019 (4)
- Marzo 2019 (5)
- Febbraio 2019 (4)
- Gennaio 2019 (4)
- Dicembre 2018 (5)
- Novembre 2018 (5)
- Ottobre 2018 (4)
- Settembre 2018 (4)
- Agosto 2018 (5)
- Luglio 2018 (4)
- Giugno 2018 (5)
- Maggio 2018 (4)
- Aprile 2018 (4)
- Marzo 2018 (3)
Top 10 tags
Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi