Weekly Threats N. 12 2020

Anche questa settimana è il tema della pandemia da Coronavirus (COVID-19) a dominare il panorama cyber, sia a livello nazionale che internazionale. Oltre infatti alla distribuzione di noti malware fra cui Emotet, Ostap, Ursnif, ParallaxRAT, HawkEye, TrickBot, Agent Tesla, Azorult e Remcos, sono state identificate diversenuove minacce che sfruttano la paura generata dall’emergenza sanitaria.
In particolare, la nuova backdoor BlackWater, distribuita tramite un archivio RAR chiamato “Important – COVID-19.rar”, sta abusando della piattaforma per servizi serverless Cloudflare Workers per comunicare con il proprio C2.
Ricordiamo inoltre il ransomware recentemente identificato come CovidLock, diffuso tramite una falsa applicazione Android che si spaccia per una mappa della distribuzione delle infezioni da Coronavirus.
Infine è stato scoperto un malware ribattezzato RedLine Stealer che ha abusato del marchio Folding@home, un progetto di calcolo distribuito che sostiene la ricerca sulle malattie. Lo stealer è stato utilizzato per colpire principalmente industrie sanitarie e manifatturiere statunitensi.

Ovviamente anche i gruppi state-sponsored stanno approfittando della situazione per condurre le proprie campagne: ad esempio, l’APT di matrice pachistana Barmanou si è servito del tema del Coronavirus per distribuire il RAT Crimson tramite documenti di spear phishing che si spacciano per comunicazioni sanitarie.
Inoltre, è stata scoperta un’operazione che ha sfruttato più di 30 applicazioni malevole per Android per spiare utenze libiche negli ultimi 11 mesi. In particolare, due app scoperte di recente promettono di fornire informazioni sulla pandemia in corso, ma in realtà nascondono un tool commerciale di sorveglianza.

Segnaliamo inoltre che sono stati tracciati alcuni attacchi informatici contro enti ed organizzazioni sanitarie. Negli USA, l’Health and Human Services Department ha subito un cyberattacco nel pieno della crisi per la pandemia, articolato in un tentativo di DDoS e una campagna di disinformazione. Un ufficiale USA ha affermato chefra i sospettati c’è uno Stato straniero, anche se al momento non ci sono ancora conferme sulle responsabilità.
In Europa, invece, il Brno University Hospital – uno dei maggiori ospedali della Repubblica Ceca, presso il quale si eseguono test per il nuovo Coronavirus – è cadutovittima di un attacco i cui contorni sono ancora tutti da mettere in luce..

Sul versante vulnerabilità, citiamo due vulnerabilità che affliggono i prodotti di Trend Micro Worry-Free Business Security, Apex One e OfficeScan e che sono già statesfruttate in-the-wild. La prima, CVE-2020-8467 (critica), consente ad un attaccante remoto autenticato di eseguire codice arbitrario sulle installazioni vulnerabili; la seconda, CVE-2020-8468 (ad alto impatto), è un problema di tipo content validation escape che consente ad un attaccante autenticato di manipolare determinati componenti.
Inoltre, è stata rilasciata una PoC per l’ormai nota falla RCE tracciata con CVE-2020-0796 individuata come CoronaBlue e SMBGhost. Reso pubblico accidentalmente da Microsoft, il bug che affligge il protocollo Server Message Block 3.1.1 (SMBv3) era già stato corretto ed erano stati messi a disposizione tool per le relative attività di scanning.
Corretti bug di vario genere anche in numerosi prodotti di Cisco, Adobe, Delta Electronics, VMware, Google e Drupal. Infine, sono state rese note falle riguardanti Moodle, ABB, Slack, Tor Browser Bundle e WordPress.

Fra i breach della settimana spicca quello ad Open Exchange Rates – servizio che fornisce un’API che consente di avere le quotazioni di oltre 200 valute del mondo. La segnalazione dell’incidente è avvenuta via email ai clienti, fra i quali vi sono Etsy, Shopify, Coinbase e Kickstarter.
Infine, un bucket AWS S3 insicuro, connesso all’applicazione “MCA Wizard” per il Merchant Cash Advance, ha esposto informazioni sensibili. Risultano coinvoltioltre 500.000 documenti – per un totale di 425GB – contenenti coordinate finanziarie e legali altamente sensibili.