Weekly Threats N. 40 2019

Diverse le campagne malware che hanno colpito in Italia questa settimana: segnaliamo in primis un’operazione diretta contro utenze PEC private e della Pubblica Amministrazione che ha visto la distribuzione di Jasper. Tramite mail riguardanti fantomatiche fatture scadute, gli attaccanti hanno indotto le loro vittime ad aprire un DOC malevolo in grado di avviare il donwload del malware, il quale aggiunge ai file cifrati l’estensione .FTCODE.
Continuano poi incessanti le campagne di distribuzione di Emotet che, questa settimana, è arrivato anche ad aziende italiane associato al noto trojan bancario Ursnif.
Infine, due diverse operazioni hanno diffuso PSWStealer, tra cui una che ha fatto credere alle vittime di aver ricevuto un trasferimento di fondi sul proprio conto ad opera di Banca Intesa San Paolo.

La scena internazionale è dominata questa settimana dalla scoperta di una serie di attacchi all’industria aerospaziale e della Difesa in Gran Bretagna e in Europa, di cui sarebbe responsabile un threat actor – verosimilmente legato al governo di Pechino – identificato come AVIVORE. Il gruppo ha come scopo principale lo spionaggio industriale (con focus sulle proprietà intellettuali), che persegue grazie ad attacchi supply chain basati su ampio uso di infrastrutture che forniscono interconnettività tra le vittime, ad esempio reti private virtuali VPN o altre soluzioni legittime per il lavoro e la collaborazione da remoto. Sono state rilevate inoltre più istanze del trojan PlugX che lasciano ipotizzare una campagna più ampia, di cui gli ultimi incidenti rappresentano solo la punta dell’iceberg. Le vittime colpite includono grandi società multinazionali e più piccole società di ingegneria o consulenza all’interno della loro supply chain.

Emerge poi un nuovo malware identificato come Reductor che fa parte dell’arsenale dell’APT russo Turla. La minaccia, in grado di compromettere il traffico TLS, si diffonde sia infettando distribuzioni di popolari software come Internet Downloader Manager e WinRAR che utilizzando un decryptor/dropper capace di scaricare file su siti già compromessi con altri tool.

Una nuova variante del RAT Adwind, anche noto come jRAT, è stata recentemente impiegata in una campagna di spear phishing contro una compagnia petrolifera negli Stati Uniti. Adwind può sottrarre immagini catturate con la webcam e file con particolari estensioni; inoltre, può monitorare i processi di sistema e fare injection in particolari processi Windows legittimi.

Sul fronte vulnerabilità, è stata individuata una falla 0-day (CVE-2019-2215) che affligge i dispositivi Android e che potrebbe essere stata sfruttata dalla società israeliana NSO Group o da uno dei suoi clienti. La scoperta del problema vede interessati un gran numero di dispositivi Pixel e non solo; il bug può essere sfruttato con due modalità: installando un’applicazione malevola o attraverso una catena di exploit che sfruttano una falla di Chrome.
Sempre insidiosa per gli utenti Android, la vulnerabilità critica corretta questa settimana da WhatsApp (di tipo double free memory corruption, CVE-2019-11932) e che consentirebbe a un attaccante remoto di compromettere il dispositivo e rubare file e messaggi delle chat. L’exploit è molto semplice: basta che un attaccante invii una GIF malevola alla vittima. Nel momento in cui questa aprirà la Gallery della piattaforma per inviare un file qualsiasi, si innescherà il bug e sarà quindi possibile registrare audio, accedere alla fotocamera, al file system e al database in cui vengono conservate le conversazioni.

Infine, segnaliamo che il popolare mail server open source Exim ha risolto per la seconda volta in un mese un problema di sicurezza ad impatto critico che potrebbe causare il crash del sistema o consentire esecuzione di codice.

Sul versante dei data breach, ricompare l’attore pachistano che si firma Gnosticplayers, già responsabile di una lunga serie di breach; stavolta ha rivendicato la compromissione dei sistemi di Zynga, celebre sviluppatore di social games. Gli utenti impattati, relativi a “Words with Friends”, ammontano a ben 218 milioni. Gnosticplayers ha anche dichiarato di essere in possesso di dati riguardanti utenti di altri giochi Zynga, incluse 7 milioni di password in chiaro.
Sempre questa settimana, è stato tracciato in rete un database non sicuro contenente i dati personali di oltre 20 milioni di contribuenti russi. Il server, appartenente a una società con base in Ucraina, non risultava protetto da password ed era quindi accessibile per chiunque.

Per concludere, riportiamo una dichiarazione della CNN secondo cui l’FBI starebbe utilizzando annunci pubblicati su Facebook per reclutare spie russe nell’area di Washington DC. Alla richiesta di spiegazioni, un responsabile della divisione di controspionaggio dell’ufficio di Washington ha affermato: “La Russia ha un gran numero di agenti di intelligence con sede in strutture diplomatiche in tutto il mondo. Sono molto attivi e rappresentano un rischio per la sicurezza degli Stati Uniti e dei nostri alleati“.

[post_tags]