La rassegna di questa settimana è dedicata quasi interamente a tematiche cybercrime di vasto respiro, cui si aggiungono dei focus su operazioni che hanno colpito il settore finanziario e segnalazioni riguardanti alcune vulnerabilità.

Intanto, sono stati scoperti due nuovi gruppi, individuati dagli analisti rispettivamente come TA2719 e DeathStalker. Il primo conduce perlopiù campagne di spear phishing basate su documenti che imitano loghi delle Forze di Polizia o di noti spedizionieri e si avvale di minacce come NanoCore e AsyncRAT. L’altro, di stampo mercenario, utilizza il tool Powersing e ha cavalcato anche l’onda della pandemia da Coronavirus.
Un altro gruppo di avversari prezzolati, di cui però non è noto il nome, ha compromesso i sistemi di uno studio di architettura coinvolto in progetti immobiliari di lusso. Le tecniche messe in atto ricordano quelle di un APT: gli avversari si sono serviti di una vulnerabilità di Autodesk 3ds Max che consente l’esecuzione di codice su un sistema Windows ed è sfruttabile tramite il plugin malevolo “PhysXPluginMfx”.

Il panorama ransomware si è arricchito di due nuovi codici. DarkSide è una minaccia che viene customizzata per ciascun target e gestita nell’ambito di attacchi human-operated. Questo crypter, che preserva reti localizzate nell’area dell’ex-Unione Sovietica, presenta alcune somiglianze con il noto ransomware REvil; inoltre, dispone di un sito sul quale vengono rilasciati i dati delle vittime che non pagano il riscatto.
SunCrypt, invece – distribuito grazie ad una DLL e installato attraverso uno script PowerShell fortemente offuscato – è entrato a far parte del cosiddetto “cartello Maze“.
Torna a colpire anche il noto Dharma/Crysis, protagonista di campagne financially-motivated condotte da avversari iraniani contro aziende localizzate in Russia, Giappone, Cina e India.

Sul versante cryptominer emerge Lemon_Duck; pensato per colpire soprattutto sistemi Linux, è stato distribuito grazie a documenti sul tema della pandemia e si diffonde nei sistemi sfruttando i bug CVE-2017-8570 (Composite Moniker) e CVE-2020-0796 (SMBGhost). Nel frattempo, si registrano guai per alcuni dei maggiori fornitori di servizi finanziari del mondo – fra cui MoneyGram, YesBank India, PayPal, Braintree, Venmo e la Borsa della Nuova Zelanda (NZX) – colpiti da attacchi DDoS a scopo estorsivo.
Sempre in ambito finanziario, la Corea del Nord fa parlare ampiamente di sé. Un alert governativo statunitense riporta i dettagli di “FastCash 2.0“, una serie di compromissioni realizzate contro istituti bancari in tutto il mondo e attribuite aI gruppo BeagleBoyz – che sembra coincidere con Lazarus. I furti di denaro sarebbero avvenuti tramite transazioni fraudolente (spesso condotte sfruttando il sistema internazionale SWIFT) e attraverso prelievi dagli ATM. Attribuzione più sicura a Lazarus è quella di una campagna globale che ha colpito in 14 paesi, tra cui USA e Regno Unito, fra le cui vittime compare una compagnia che gestisce criptomoneta.

Le attività di Ursnif in Italia non conoscono sosta; negli ultimi giorni sono state tracciate due ondate di email di phishing che in un caso hanno sfruttato il tema del COVID19 e nell’altro hanno imitato comunicazioni dell’INPS indirizzate ad aziende private.

Chiudiamo con la segnalazione di due bollettini di sicurezza per Chrome e Safari. Il browser di Google è stato aggiornato alla versione 85 per tutte le piattaforme; fra le vulnerabilità corrette, tuttavia, non compare la CVE-2020-6492 (use-after-free in WebGL che consente esecuzione di codice nel contesto del processo del browser), segnalata alcuni giorni fa da Cisco Talos e data per risolta in questo nuovo rilascio. Quanto a Safari, un ricercatore ha rilevato un bug nell’implementazione dell’API Web Share, un nuovo standard web che ha introdotto un’API cross-browser per la condivisione di testo, collegamenti, file e altri contenuti. La PoC dell’exploit è pubblica, ma Apple tarda nella pubblicazione delle correzioni.

EMAIL WEEKLY

Aggiornati velocemente con il nostro weekly threats in email

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi