WEEKLY THREATS

Weekly Threats N. 34 2019

23 Agosto 2019
Questa settimana in Italia sono state tracciate due campagne basate su email malevole che hanno distribuito, rispettivamente, il celeberrimo trojan bancario Ursnif e il RAT Remcos. Nel primo caso i messaggi si fingevano comunicazioni relative a sentenze legali, nell’altro imitavano segnalazioni dell’Ufficio delle Dogane.

A livello internazionale, invece, si distingue, fra le diverse operazioni di cyber spionaggio di matrice governativa, quella condotta dal gruppo nordcoreano Kimsuki contro i Ministeri degli Affari esteri di diverse Nazioni, 4 istituti di ricerca e alcuni provider di email. Spiccano fra tutti il Ministero per l’Europa e gli Affari Esteri (MEAE) francese, ma compaiono fra i target anche la Stanford University, il Royal United Services Institute (RUSI), un think tank con base nel Regno Unito, il Congressional Research Service (CRS), un think tank con base negli Stati Uniti.

Di diversa natura le questioni che hanno coinvolto il Kazakistan. L’iniziativa presa in luglio – e poi, a detta delle Aurotità, ritirata – di mettere sotto controllo in modo coatto tutto il traffico internet del Paesnon è stata accolta con entusiasmo a livello internazionale. Così, come misura di protezione della privacy dei propri utenti, Apple, Google e Mozilla hanno deciso di bloccare il certificato SLL root CA imposto dal Governo.

Si riaccende anche la questione riguardante la disinformazione di Stato. I social network Facebook e Twitter hanno intrapreso nuove operazioni di vera e propria “ripulitura”, volte a limitare ondate di notizie fuorvianti provenienti dalla Cina. In occasione delle proteste organizzate ad Hong Kong, Pechino ha infatti diffuso informazioni fasulle e tendenziose tramite migliaia di account, pagine, gruppi che ora sono stati disattivati.   

Due sono i casi di vulnerabilità in prodotti software popolarissimi, la cui natura si è rivelata, a una indagine accurata, ben più articolata. Il primo coinvolge l’antivirus di Kaspersky; l’ID unico che il prodotto inietta nelle pagine web visitate dagli utenti è di fatto una preziosa arma di tracciamento sfruttabile anche da terze parti. Alla pubblicazione del problema da parte di un ricercatore (CVE-2019-8286) è seguita la revisione del meccanismo, ma restano ancora dubbi sulla messa in sicurezza del prodotto, nonostante le rassicurazioni rilasciate sul blog ufficiale della compagnia russa.

Gravissimo, inoltre, il caso del popolare system administrator tool Webmin. Quella che era sembrata una vulnerabilità 0-day di tipo RCE (CVE-2019-15107), già di per sé molto pericolosa, si è scoperta essere una vera e propria backdoor, vale a dire uno strumento che gli amministratori del progetto hanno intenzionalmente inserito nei pacchetti per il download senza darne alcuna segnalazione.

Doppietta anche per la pratica malevola – abbastanza frequente – di sfruttare repository pubblici al fine di distribuire minacce. All’interno di Ruby Gems è stata individuata una versione vecchia e modificata – trasformata di fatto in un infostealer – del pacchetto “rest-client”, probabilmente sottratta ad un utente che non aveva protetto in modo adeguato il proprio account. Le indagini che ne sono scaturite hanno consentito l’individuazione e la cancellazione di altre librerie malevole. Node Package Manager (npd) ospitava invece il pacchetto “bb-builder”, che conteneva il tool di password recovery WebBrowserPassView; giunto alla versione 1.0.6, ma scaricato probabilmente solo un centinaio di volte, bb-builder è stato eliminato.

Chiudiamo la nostra rassegna con un incidente occorso ai sistemi dell’Integrated Reporting Dictionary (BIRD) della Banca Centrale Europea (BCE). L’installazione nel server esterno che ospita il sistema per la produzione di report statistici della BCE avrebbe consentito ad attaccanti ignoti di esfiltrare nome, email, posizione lavorativa di 481 iscritti alla newsletter.
[post_tags]