Weekly Threats N. 38 2019

Dal punto di vista delle minacce, questa settimana il protagonista indiscusso è stato il trojan bancario Emotet, che torna a colpire con forza in tutto il mondo dopo qualche mese di inattività. In particolare sono stati inviati messaggi fraudolenti cui risulta allegato un file DOC contenente macro malevole. Ricordiamo che Emotet è dotato di numerose funzionalità tra cui esfiltrare password, fare keylogging, intercettare il traffico di navigazione e accedere da remoto alle reti violate.

Numerose le campagne che hanno colpito l’Italia. Una di queste ha distribuito Hancitor tramite mail che fanno riferimento al circuito bancario SWIFT; una seconda ha diffuso invece sLoad grazie a messaggi di posta certificata in cui si citano fatture elettroniche. E ancora: è stata rilevata un’operazione basata sul noto trojan Gootkit che ha colpito portali di istituti bancari, servizi di posta e portali webmail corporate. Infine, una campagna che ha raggiunto utenti privati e della Pubblica Amministrazione ha distribuito il trojan Ursnif tramite un file Excel malevolo.

Proseguiamo la rassegna delle minacce con le attività di Smominru, che nel corso del mese di agosto ha aggiunto oltre 90.000 macchine – di cui diverse in Italia nel settore sanitario – ad una botnet pensata per minare illecitamente Monero.

Segnaliamo poi la comparsa di un nuovo ransomware che colpisce reti aziendali ribattezzato TFlower e il ritorno sulla scena del celebre WannaCry, di cui risulterebbero in circolazione ancora numerose varianti. Da notare che i tentativi di attacco basati sulla nota minaccia superano nel mese di agosto i 4 milioni, concentrati principalmente in Pakistan, Perù, Sudest Asiatico e Italia; tuttavia, la maggior parte dei sample tracciati risulta difettoso e non è quindi in grado di proseguire l’azione malevola criptando i file.

Sul versante APT, le novità più salienti riguardano un nuovo gruppo chiamato Tortoiseshell che sta attaccando diverse organizzazioni localizzate principalmente in Arabia Saudita. L’arsenale del gruppo vanta alcune minacce custom per il dump di informazioni e alcune backdoor in PowerShell fra cui la backdoor Syskit e alcuni tool associabili al noto APT iraniano OilRig.

Di matrice iraniana anche Charming Kitten, il gruppo state-sponsored che ha recentemente preso di mira il settore della ricerca universitaria e l’ambiente degli attivisti politici. Sono stati distribuiti messaggi di posta elettronica falsamente inviati da un noto ricercatore o da un giornalista in cui si invitano i target a prendere visione di un curriculum o a partecipare ad un meeting online sui rapporti USA-Iran. Sembra poi che alla corrispondenza via mail delle vittime sia stato applicato un tracker che consente di monitorare i messaggi inoltrati e ottenere informazioni sulla loro geolocalizzazione.

Oltre ai numerosi bollettini di sicurezza pubblicati questa settimana tra cui quelli per prodotti Cisco, VMware, Mozilla, AMD, Advantech, segnaliamo il rilascio di dettagli riguardanti una vulnerabilità 0-day di phpMyAdmin, una delle applicazioni più popolari per la gestione di database MySQL e MariaDB. La falla, identificata con CVE-2019-12922, consente ad un attaccante di eliminare qualsiasi server nella pagina di setup di una vittima attivando un attacco CSRF.

Ricordiamo poi che un database ElasticSearch malconfigurato ha esposto i dati personali della maggior parte della popolazione complessiva dell’Ecuador. Di proprietà della compagnia Novaestrat, il server incriminato conteneva dati di due categorie: quelli provenienti da una fonte governativa e quelli provenienti da database privati, forse dal Banco del Instituto Ecuatoriano de Seguridad Social (BIESS) o dalla Asociación de Empresas Automotrices del Ecuador (AEADE).

Concludiamo infine la rassegna con l’azione hacktivista di Anonymous Italia che proprio ieri ha rivendicato il dump ai danni di tre diversi portali: quelli dell’ARPA (Agenzia Regionale Protezione Ambientale) della Basilicata, dell’Ente per il Turismo di Napoli (ETN) e dell’Agenzia Nazionale per la sicurezza del volo (ANSV).