Weekly Threats N. 18 2020

La rassegna, che questa settimana anticipiamo di un giorno, delinea un panorama ancora segnato da campagne e operazioni a tema COVID-19; nel frattempo continuano a essere numerose le notizie riguardanti le minacce cybercrime e, in modo particolare, i ransomware; qualche interessante elemento emerge anche dal versante data breach; chiuderemo con indicazioni sui bollettini di sicurezza rilasciati per software e dispositivi hardware industriali.

La società cinese Huiying Medical Technology – impegnata nella realizzazione di dispositivi di screening per immagini basati sull’intelligenza artificiale e ora coinvolta in un progetto dedicato alla pandemia da Coronavirus – è caduta vittima di un grave breach. Un attaccante che si firma “THE0TIME” ha rivendicato il furto del codice sorgente dei software e dei dati sperimentali già raccolti; l’intero materiale è in vendita nel dark web per 4 Bitcoin.
GuLoader e il RAT Remcos vengono distribuiti in combo sfruttando comunicazioni che si fingono provenienti dall’SBA (Small Business Administration) del Governo americano sui programmi CARES (Coronavirus Aid, Relief, and Economic Security). Il trojan bancario sudamericano Grandoreiro – che fino ad ora si è spacciato per un update di Java o Flash Player – adesso sfrutta anche il tema del virus biologico.

Zoom, una delle soluzioni che hanno registrato una sensibile crescita a causa della quarantena, continua ad essere variamente abusata a fini criminosi. Una campagna di phishing ha preso di mira utenti della piattaforma con inviti fasulli a riunioni su temi sensibili; le vittime sono state reindirizzate a pagine di login malevole. Il RAT WebMonitor, invece, è stato distribuito – non sugli store ufficiali, ma attraverso siti malevoli – in bundle con l’installer di Zoom.
Cominciano a emergere problemi anche per utility analoghe, come Microsoft Teams, nella quale è stata risolta una falla che consente di fare il takeover dell’account target con una semplice immagine GIF; segnalata il 23 marzo scorso, la vulnerabilità è stata risolta con un update rilasciato il 20 aprile.

I gruppi APT restano sullo sfondo. Abbiamo dato notizia della longeva campagna PhantomLance attribuita ad APT32 (alias OceanLotus) – che distribuisce perlopiù nel Sud-Est Asiatico differenti versioni di un sofisticato spyware per Android – e di un alert diramato dal National Cyber Directorate di Israele su possibili attacchi mirati ai settori energetico e della gestione delle acque.

Intanto, le attività crime non danno tregua. Fra le minacce bancarie in Italia Ursnif è ancora il protagonista e viene distribuito da email contenenti file XLS con macro Excel 4. Cerberus, il trojan per Android, ha mirato ai sistemi di una compagnia, diffondendosi attraverso il server MDM (Mobile Device Manager) aziendale. In tutto il mondo, invece, numerose società sono state colpite dal gruppo Outlaw con un malware finalizzato al mining di Monero. Per una botnet che viene smantellata – VictoryGate aveva imperversato soprattutto in Perù, minando sempre Monero – una minaccia omologa finisce sotto la lente degli analisti: LeetHozer, una nuova botnet per attacchi DDoS, distribuisce la famiglia di malware Moobot e sfrutta principalmente una vulnerabilità risalente al 2017 che affligge i dispositivi XiongMai H.264 e H.265.

E veniamo ai ransomware. Gli sviluppatori di Shade, alias Troldesh e Encoder.858, hanno annunciato di aver interrotto la distribuzione della minaccia e ne hanno rilasciato oltre 750.000 chiavi di decifrazione. LockBit prende la via di Maze minacciando il leak delle informazioni nel caso in cui le vittime si rifiutassero di pagare il riscatto.
Sodinokibi pubblica screenshot dei dati prelevati dai sistemi della società statunitense SeaChange. MedusaLocker torna a colpire con feature che ne fanno una minaccia molto più sofisticata della altre, come la profilazione delle reti colpite e la possibilità di manipolare il registro di Windows. Infine Black Rose Lucy, che fino ad oggi si era presentato come una botnet per Android con funzioni di dropper, ora può anche cifrare i dati.

Fra i bollettini di sicurezza segnaliamo quelli per i dispositivi industriali ABB, per Samba, Chrome, VMware; per Bridge, Illustrator e Magento di Adobe e per Junos OS di Juniper. Qualche pasticcio si registra nel caso degli aggiornamenti per la popolare libreria one-liner “is-Promise”. Poiché la versione 2.2.0 rilasciata ultimamente non ha aderito agli standard corretti di JavaScript, i progetti che la utilizzano nella loro build chain hanno iniziato a bloccarsi a causa del supporto improprio del modulo ES; tutto risolto col rilascio della versione 2.2.2.

Chiudiamo con un data breach di un certo rilievo: lo scorso 9 aprile i dati di circa 400.000 carte di pagamento sudcoreane e statunitensi sarebbero stati messi in vendita nel popolare dark market Joker’s Stash.