Weekly Threats N. 39 2019

La settimana che si sta concludendo è stata segnata, nel panorama italiano, da numerose campagne. NanoCore è stato veicolato da email che sembravano provenire da Poste Italiane, sLoad da comunicazioni in formato PEC. Agent Tesla, invece, è stato protagonista di un attacco di spear phishing che ha sfruttato il brand della compagnia petrolifera Total contro società del nostro paese. Di particolare interesse, poi, sono le oltre 12 offensive mirate contro utenti italiani della banca diretta tedesca N26; nei messaggi di posta elettronica – molto ben confezionati – compare un link che porta ad una pagina di phishing.

La platea delle vittime di Emotet continua ad essere, invece, ampia e articolata. Sono due le campagne che hanno distribuito il malware: in un caso, tramite email in inglese, italiano, spagnolo e tedesco che fanno riferimento all’uscita del nuovo libro di Edward Snowden e, in un altro, sfruttando un template DOCM.

Sul fronte internazionale, inoltre, si segnala l’emersione di una nuova minaccia, chiamata eloquentemente DeadlyKiss, indirizzata contro specifici e limitati target del settore delle comunicazioni e della connettività internet (ISP). L’attribuzione di questo malware, che viene impiegato principalmente per operazioni di ricognizione e cyber-spionaggio, risulta ancora incerta, ma si ipotizza un attore molto ben organizzato e interessato al monitoraggio di reti militari e della difesa in India e Sudest Asiatico, Russia, Lituania, Stati Uniti, Kenya, Colombia e Italia.

Restando nell’ambito di attori APT, è stato tracciato Dtrack, un nuovo RAT che il gruppo nordcoreano Lazarus avrebbe derivato dal codice del bancario ATMDtrack. Inediti risulterebbero anche i tool sfruttati nell’operazione xHunt, condotta in Kuwait contro target del settore dei trasporti e delle spedizioni.

Non si fermano le attività dei gruppi riconducibili al panorama Magecart. Il team individuato come Magecart 5 starebbe testando un nuovo codice malevolo pensato per fare injection nei file JavaScript legittimi caricati dai router di grado commerciale Livello 7 (L7) – utilizzati solitamente in grandi stabili come quelli di aeroporti, casino, hotel e resort – e starebbe approntando strumenti per colpire applicazioni mobile di tipo “booby-trapped”.

Quanto alle vulnerabilità, è stato invece reso disponibile “checkm8”, un bootrom exploit che consentirebbe, solo in caso di accesso fisico, il jailbreak di centinaia di milioni di device iOS, dagli iPhone 4s (chip a5) agli iPhone 8 ed X (chip A11). Inoltre, si segnala uno 0-day critico di tipo RCE (remote code execution) che affligge tutte le versioni di vBulletin comprese fra 5.0.0 e 5.5.4. Il problema era già noto in particolari ambienti da almeno 3 anni. Ora un ricercatore ne ha resi pubblici i dettagli tecnici e la Proof of Concept dell’exploit prima del rilascio della patch (CVE-2019-16759). Infine, critico è anche il bug RCE che affligge i dispositivi di storage ShareCenter D-Link DNS-320; tracciato con CVE-2019-16057 (CVSS 10.0), può essere sfruttato da un attaccante remoto non autenticato per avere accesso con privilegi root a tutti i comandi dell’applicazione.

Concludiamo la nostra rassegna con nuove azioni che Anonymous Italia sta conducendo in queste ore. Per richiamare l’attenzione sui problemi ambientali; gli hacktivisti hanno rivendicato su Twitter il data breach al SIA (Sistema Informativo Ambientale) della Provincia di Milano e a due sezioni del portale della Città Metropolitana di Milano. Inoltre, ha preso di mira i portali dell’Università degli Studi Mediterranea di Reggio Calabria di ViviBanca e della rivista di informazione giuridica online Expartecreditoris.