Weekly Threats N. 37 2020

Diverse campagne malware contro utenze email italiane, numerosi casi di attacchi ransomware, un nuovo script con funzioni di skimmer, una minaccia progettata per colpire i servizi VoIP di una compagnia cinese e bollettini di sicurezza per bug anche critici in soluzioni software e hardware: ecco il contenuto della nostra rassegna di notizie per questa settimana.

Nel nostro Paese il trojan bancario Mekotio è stato distribuito da email che facevano riferimento al Ministero dell’Economia e Finanze (MEF); Dridex e MassLogger, invece, hanno abusato del nome dello spedizioniere FedEx; infine, messaggi di posta elettronica con riferimenti a Certificati di Conformità EAC hanno veicolato XpertRat.

Il panorama cyber internazionale vede la comparsa di una nuova minaccia che, per tipologia, si affianca a quelle già in uso ad esempio dalla galassia Magecart: lo script con funzioni di skimmer battezzato Baka, verosimilmente opera di uno sviluppatore qualificato, è già stato iniettato su store online di mezzo mondo.
Quanto agli attacchi ransomware, le notizie si susseguono incessantemente. Segnaliamo due azioni per NetWalker: una contro l’agenzia per l’immigrazione argentina, Dirección Nacional de Migraciones, e un’altra contro i sistemi della K-Electric, il maggior fornitore privato di elettricità in Pakistan. Gli operatori di DopplePaymer hanno raggiunto la Newcastle University e sono riusciti a sottrarre informazioni. Sodinokibi è fra i maggiori sospettati della compromissione subita dal BancoEstado, uno dei 3 maggiori istituti finanziari del Cile. Infine, la minaccia as a service Thanos – capace di eludere il sistema di sicurezza RIPlace – ha messo a segno compromissioni contro due organizzazioni governative dell’area MENA (Medio Oriente e Nord Africa).

Sulla scena APT domina il caso delle Elezioni USA prese di mira da avversari di diversa provenienza. Russi (Sofacy), cinesi (APT31) e iraniani (Charming Kitten) hanno colpito persone di alto profilo e organizzazioni coinvolte nelle prossime Presidenziali mettendo in campo le più disparate tecniche.
Di matrice non ancora chiara, ma altamente mirata, è la minaccia CDRThief che è stata realizzata per violare due specifici softswitch per sistemi Linux; questo sofisticato infostealer agisce esclusivamente contro i VOS2009 e VOS3000 della compagnia cinese Linknat.

Fra i bollettini di sicurezza rilasciati negli ultimi giorni vi sono quelli mensili shedulati da Google per Android e Pixel, da Microsoft e SAP per le proprie soluzioni. Altri aggiornamenti riguardano il browser Chrome e prodotti Adobe e Siemens.
Particolare attenzione va portata, fra i nove corretti da Intel in diversi prodotti, a un bug critico tracciato con CVE-2020-8758 (CVSS 9.8): è di tipo privilege escalation e affligge Active Management Technology (AMT) e Intel Standard Manageability (ISM).
Si raccomanda anche l’aggiornamento alla versione 5.1 di Bluetooth Core Specification che risolve la falla nominata BLURtooth (vedi nota VU#589825 del CERT-CC), di tipo key overwrite, tracciata con CVE-2020-15802, che impatta Bluetooth BR/EDR e LE.

[post_tags]