Weekly Threats N. 35 2019

Questa settimana segnaliamo un’operazione di un certo rilievo che ha coinvolto una firma di sicurezza e la Gendarmerie Nazionale francese e che ha condotto allosmantellamento della botnet Retadup, composta da oltre 850.000 macchine infette e attiva almeno dal 2017. La maggior parte delle vittime, i cui sistemi sono stati compromessi con l’infector Neshta, è localizzata nei Paesi ispanofoni dell’America Latina, ma sono coinvolti anche Russia, Pakistan, Uzbekistan, Stati Uniti, Brasile e Madagascar.

Sempre sul versante minacce, è stata tracciata un’operazione che ha colpito il settore della telefonia mobile: gli attaccanti si sono serviti dell’ultima versione del bancario TrickBot per rubare codici PIN da utenti USA di Verizon Wireless, T-Mobile e Sprint con l’intenzione di lanciare attacchi di tipo SIM swapping. Inoltre, è stato tracciato un nuovo ransomware identificato come Nemty, sviluppato probabilmente nell’area dell’ex-Unione Sovietica.
Per quanto riguarda il panorama APT, è stato scoperto che il noto gruppo iraniano OilRig ha arricchito il proprio arsenale con nuovi malware fra cui un RAT chiamato DanBot. Il gruppo state-sponsored Dropping Elephant, invece, torna a far parlare di sé – mentre si intensifica il conflitto tra India e Pakistan – con una campagna che ha sfruttato un documento Excel malevolo.

La scena delle vulnerabilità è dominata da Apple. Il colosso di Cupertino ha dovuto rilasciare correzioni per una vulnerabilità critica che era già stata risolta con il rilascio di iOS 12.3 e che era stata inavvertitamente reintrodotta nella successiva 12.4. Tracciata con CVE-2019-8605, la falla è di tipo use after free ed è sfruttabile tramite jailbreak. Le nuove correzioni sono state approntate nella versione 12.4.1 di iOS e tvOS, mentre per Mojave la versione aggiornata è la 10.14.6 e per WatchOS la 5.3.1.
Ancora bug di iOS sono protagonisti di un caso di sfruttamento perdurato a lungo. All’inizio di quest’anno è stata tracciata una campagna che ha mirato a prendere il controllo di dispositivi con questo sistema operativo; gli attaccanti hanno sfruttato diverse catene di exploit basate su un totale di 14 vulnerabilità che affliggono Safari e il kernel di iOS 2. Si scopre ora che due di esse – identificate con CVE-2019-7287 e CVE-2019-7286 – sono state impiegate anche per attacchi di watering hole per almeno due anni prima di essere scoperte.

Quanto ai data breach, segnaliamo l’incidente che ha coinvolto l’hosting provider Hostinger, il quale ha annunciato di aver resettato le password di login di quasi 14 milioni di suoi clienti in seguito ad un accesso non autorizzato.

Concludiamo dando notizia di una campagna hacktivista lanciata da Anonymous sotto l’hashtag #OpAmazonia per protestare contro il Governo brasiliano presieduto attualmente da Jair Bolsonaro, ritenuto corresponsabile dei recenti incendi che hanno interessato la Foresta Amazzonica. Secondo il gruppo, infatti, il Ministro dell’Ambiente, Ricardo De Aquino Salles, sarebbe stato informato con tre giorni di anticipo della volontà delle grandi industrie agricole di dare avvio agli incendi a fini di protesta. Gli hacktivisti hanno dunque pubblicato dati sensibili appartenenti a Salles, fra i quali compaiono indirizzi fisici, numeri di telefono, indirizzi di posta elettronica, auto possedute e relative targhe.