Weekly Threats N. 48 2019

Questa settimana è stata registrata in Italia una campagna di phishing ai danni degli utenti dell’Agenzia Italiana del Farmaco (AIFA). Gli attaccanti hanno tentato di esfiltrare credenziali di posta elettronica dei suddetti utenti inducendoli ad aggiornare i dati del proprio account tramite un falso form di login.
Per quanto riguarda invece le minacce rilevate anche all’estero citiamo DeathRansom, un nuovo ransomware la cui distribuzione è cominciata lo scorso 20 novembre, e Stantinko, una botnet a cui è stato recentemente aggiunto un modulo per il cryptomining. Le macchine infettate dalla botnet, attiva almeno dal 2012, sono circa 500.000 e si trovano principalmente in Russia, Bielorussia e Kazakistan.

Due le campagne significative basate sul noto ransomware Ryuk, associato al gruppo financially-motivated FIN6. È stata colpita in primis la compagnia Prosegur, una multinazionale madrilena che offre servizi di sicurezza fisica soprattutto a strutture industriali e centrali elettriche. Inoltre, ha subito un attacco la Virtual Care Provider Inc, un provider di servizi IT (hosting cloud, network/end point management, secure wireless, strategic and technology consulting) con base nel Wisconsin. Nel primo caso la minaccia è stata veicolata da Emotet, nel secondo da TrickBot.

Segnaliamo infine una vasta campagna cybercrime ribattezzata RevengeHotels che colpisce hotel, ostelli e compagnie turistiche principalmente localizzati in Brasile. A colpire il settore alberghiero sono almeno due gruppi, ma secondo alcune ipotesi anche tre, che si servono di infrastruttura e tool separati ma simili: fra questi ricordiamo registrazione di domini con la tecnica del typo-squatting, tecniche di ingegneria sociale, uso di servizi DNS dinamici che puntano a hosting commerciali e serverself-hosted. Inoltre, vendita di credenziali dei sistemi interessati, il che consente ad altri criminali informatici di avere accesso remoto ai front desk degli hotel infetti. Le compromissioni sono state condotte tramite versioni customizzate dei seguenti tool: RevengeRAT, NjRAT, NanoCoreRAT, 888 RAT e ProCC.

Sul versante vulnerabilità sono state rilevate numerose falle in alcuni servizi VNC di cui alcune che non sono ancora state risolte. In particolare sono state esaminate le seguenti quattro popolari implementazioni VPN open source in cui sono stati riscontrati nel complesso 37 bug: LibVNC, TightVNC, TurboVNC e UltraVNC.
Alcune vulnerabilità sono state corrette anche nei prodotti della compagnia svizzero/svedese ABB; fra queste segnaliamo un bug critico con CVSS 10.0 e identificato con CVE-2019-18253: una falla di tipo path traversal che consente di leggere e cancellare file presenti sul dispositivo target.
Infine, Apache ha risolto diverse vulnerabilità di tipo RCE, di cui soltanto una è stata corretta e fornita di codice CVE, nel prodotto Solr, una piattaforma di ricerca open source del progetto Apache Lucene. Si tratta di CVE-2019-12409, una falla di tipo remote code execution sfruttabile per caricare codice malevolo sul server e installare una shell per svolgere ulteriori operazioni illecite.

Questa settimana ha scoperto di aver subito un data breach Magento Marketplace, il portale dedicato alla compravendita e al download di temi e plugin per gli store online che usano la piattaforma. Secondo quanto dichiarato da Adobe, la compagnia proprietaria della piattaforma, il breach sarebbe stato reso possibile da una falla che ha consentito agli attaccanti di accedere illecitamente al database degli utenti registrati.
Concludiamo segnalando una nuova azione hacktivista di Anonymous Italia, pensata per dimostrare il mancato rispetto del GDPR. Il collettivo hacktivista ha infatti colpito il portale della Intempra, web agency con base a Bari, e i siti delle compagnie sue clienti.