Weekly Threats N. 09 2020

Mentre in Italia il trojan bancario Ursnif viene distribuito da un’email che si finge una comunicazione del corriere DHL, a livello globale sono diverse – questa settimana – le notizie cyber che hanno a che fare con la diffusione del nuovo Coronavirus COVID-19.
In primis, è stata individuata una campagna malevola ai danni degli utenti di Banca Intesa San Paolo. Gli attaccanti inducono le vittime ad accedere ad un servizio online per leggere una comunicazione urgente relativa allo stato di allerta che vige al momento in Italia a causa del nuovo virus. Scopo dell’operazione è di esfiltrare credenziali per l’home banking.
Il tema dell’epidemia da Coronavirus è stato inoltre sfruttato per distribuire in diversi paesi il RAT identificato come Remcos tramite il file malevolo CoronaVirusSafetyMeasures_pdf.
Inoltre, secondo quanto dichiarato da voci ufficiali negli Stati Uniti, migliaia di account social collegati alla Russia avrebbero intrapreso uno sforzo collettivo per diffondere disinformazione e allarme sulla questione dell’epidemia nel tentativo di danneggiare l’immagine e la reputazione dello Stato americano.
Infine, l’APT russo Sandworm ha avviato contro l’Ucraina l’operazione, denominata Operation TrickyMouse, basata sul tema della diffusione del nuovo virus. L’attacco è stato condotto grazie all’invio di documenti contenenti macro malevole il cui testo riproduce quello diffuso dal Ministero della Salute di Kiev.

Rimanendo sul versante APT, si registra una campagna ribattezzata Cloud Snooper, probabilmente condotta da attori state-sponsored cinesi. L’operazione ha impiegato una combinazione di tecniche al fine di eludere il rilevamento e consente al malware Gh0stRAT di comunicare liberamente con il suo server C2 attraverso un firewall che, in circostanze normali, dovrebbe impedire proprio a quel tipo di comunicazione di raggiungere il server infetto.
In Medio Oriente, segnaliamo poi una campagna di spear phishing gestita dal gruppo iraniano MuddyWater che ha impiegato il malware ForeLord (alias DNSLord), un RAT pensato per scaricare diversi altri tool che sottraggono credenziali, le testano nel network target e poi creano un reverse SSL tunnel per procurarsi un ulteriore canale di accesso alle reti.

Per quanto riguarda le vulnerabilità, questa settimana sono stati rilasciati nuovi dettagli riguardanti una falla che affligge Microsoft Exchange Server, tracciata con codice CVE-2020-0688. Il bug, inzialmente classificato come un problema di memory corruption, affligge la componente Exchange Control Panel (ECP) e consiste nel fatto che Exchange Server non riesce a creare una chiave crittografica unica nel momento in cui viene installato. Per tale falla è già stata pubblicata una prima Proof-of-Concept e sono anche già noti tentativi di scansione per individuare i server vulnerabili a livello globale.
Inoltre, sono state numerose le correzioni di bug in diversi prodotti appartenenti a Cisco, OpenSMTPD, Moxa, Honeywell, Rockwell Automation, Auto Maskin, Tomcat. Menzioniamo in particolare: un problema che affligge i chip wi-fi Broadcom e Cypress identificato come KrØØk e con il codice CVE-2019-15126; un bug critico di Zyxel che affligge i propri dispositivi NAS tracciato con CVE-2020-9054 di cui sono noti tentativi di sfruttamento in-the-wild; una vulnerabilità ad alto impatto di Google Chrome (CVE-2020-6418), anch’essa sfruttata in attacchi reali.

Chiudiamo la nostra rassegna settimanale segnalando che è stato trovato in rete un database malconfigurato di Decathlon che ha esposto oltre 123 milioni di record tra cui informazioni su clienti e dipendenti. Il database, di oltre 9 GB, era ospitato su un server ElasticSearch non protetto e conteneva informazioni riguardanti le filiali spagnole del colosso francese del retail sportivo e potenzialmente anche quelle del Regno Unito.