Weekly Threats: N. 29 2018

Una settimana intensa, quella appena trascorsa, per l’Italia. Due campagne di malspam hanno infatti colpito utenti italiani. Nello specifico le stesse si avvalgono rispettivamente: del trojan bancario GootKit che ha capacità di fare keylogging, sottrarre informazioni dalle smartcard presenti nella macchina infettata e intercettarne in traffico e del trojan bancario Ursnif.

Nelle ultime ore è stata pubblicata una vulnerabilità 0-day che affligge Microsoft Jet Database Engine, con il coinvolgimento in particolare delle versioni per Windows 7. Il bug consente esecuzione di codice da remoto (RCE); un attaccante può avvalersene per eseguire codice nel contesto del processo corrente, ma è richiesta l’interazione con l’utente per l’apertura di determinati file malevoli.

Individuati bug per l’Account Activity API (AAAPI) di Twitter e Apple Mojave. Nel primo caso la vulnerabilità può aver causato l’esposizione dei dati degli utenti, ma sarebbero impattati meno dell’1% degli account; nel secondo sembrerebbe che nella più recente versione del sistema operativo di Apple i dati sensibili potrebbero essere a rischio esposizione poiché sfruttando tale vulnerabilità sarebbe possibile aggirare una particolare feature di sicurezza per avere accesso, fra l’altro, alla rubrica dei contatti sfruttando una applicazione senza privilegi.

Durante la mattinata di giovedì scorso, il Porto della città di Barcellona è stato colpito da un attacco informatico che ha coinvolto numerosi suoi server. Appena pochi giorni dopo il caso di Barcellona, anche il Porto di San Diego ha dichiarato che il proprio sistema di information technology è stato messo fuori uso da un cyber-attacco, con conseguenze in termini di gravi disservizi.

Recentemente sono stati resi noti alcuni dettagli di una nuova botnet, battezzata Torii, il cui codice sembra inedito e le cui attività sono state tracciate a partire dal dicembre 2017. La minaccia, il cui nome deriva dal fatto che i primi attacchi noti provenivano da nodi della rete TOR, presenta una architettura modulare e dispone di una serie di funzionalità finalizzate principalmente all’esfiltrazione dei dati. 

 La scorsa settimana, il portale di e-commerce SheIn[.]com ha dichiarato di essere stato vittima di un data breach che ha coinvolto 6,42 milioni di utenti. Un sofisticato attacco cyber al network ha consentito ai criminali di avere accesso agli indirizzi email e alle password cifrate dei clienti. Da altre fonti si apprende che le analisi forensi avrebbero evidenziato la presenza di un malware nei sistemi.

Numerose nuove campagne sono state recentemente lanciate dal noto gruppo financially-motivated Cobalt. Le stesse sono basate sulla distribuzione dell’inedito tool SpicyOmelette.

Si tratta di un sofisticato remote access tool che sfrutta diverse tecniche di evasione e che viene diffuso tramite mail di phishing; il link contenuto se cliccato, usa Google AppEngine per dirottare la vittima verso un URL Amazon Web Service controllato dagli attaccanti. Una volta infiltrato il sistema target, la minaccia consente ai suoi operatori di esfiltrare informazioni sulla macchina e scaricare ulteriori malware, nonché scalare i privilegi, rubare credenziali bancarie e procedere perciò al furto di denaro tramite operazioni fraudolente.

Tredici sarebbero invece le nuove versioni della minaccia Poison-Ivy – del gruppo APT-C-01, alias Poison Ivy Group – che ha colpito soprattutto organizzazioni governative, tecnologiche, della marina e accademiche cinesi, allo scopo di procurarsi informazioni sull’industria militare, sulle relazioni Cina-USA e tutte quelle che riguardano il campo delle comunicazioni internazionali e transoceaniche. Gli attacchi vengono lanciati tramite email di spear-phishing che contengono in allegato documenti Word con exploit, PE (Portable Executable), oppure archivi RAR autoestraenti.

In ultimo ricercatori di sicurezza hanno recentemente condotto un’indagine sul noto APT di matrice russa APT28 (Sofacy, Fancy Bear) che ha portato alla luce anche alcune novità rilevanti.  Il gruppo ha utilizzato varie componenti di un malware, LoJax, per colpire alcune organizzazioni governative nei Balcani e in Europa centrale ed orientale. Inoltre, è stato tracciato per la prima volta in the wild un rootkit UEFI. Questo tipo di minaccia è considerato estremamente pericolosa per vari motivi: non solo è molto difficile da rilevare ma è anche in grado di sopravvivere a misure di sicurezza drastiche come l’installazione di un nuovo sistema operativo o addirittura la sostituzione di un hard disk. Di tali rookit si è parlato fino ad oggi perlopiù come proof of concept ma non ne era mai stato scoperto uno utilizzato in attacchi reali.

[post_tags]