Protocollo intesa Polizia Postale e ODCEC CT – Alert Sistemi Informativi gennaio 2020
Protocollo intesa tra la Polizia di Stato compartimento Polizia Postale e delle comunicazioni “Sicilia Orientale” e ODCEC di Catania siglato in data 18 maggio 2019 per la prevenzione ed il contrasto dei crimini informatici sui sistemi informativi “critici”: accessi abusivi, frodi informatiche, spionaggio, violazione dell’identità digitale, indebita sottrazione di informazione.
Di seguito si segnalano gli alert dei Sistemi Informativi – Gennaio 2020
TrickBot
Una nuova campagna di malspam pensata per distribuire il malware Trickbot ad utenti italiani.
Il trojan viene diffuso principalmente tramite messaggi di posta elettronica cui è allegato un file chiamato “documento_doganale_XXXXXXX.doc”, corredato da macro malevole.
Da notare che le mail sono partite da caselle di posta reali probabilmente compromesse.
MacOS
Un nuovo malware che sfrutta la tecnica del DNS hijacking per colpire sistemi basati su macOS.
La minaccia carica sui sistemi target un file di profilo che aggiunge un'interfaccia di rete facendola passare per un nuovo livello di connessione VPN. Questo, una volta installato, procederà a modificare l’indirizzo IP.
In particolare, lo scopo degli attaccanti è quello di dirottare le ricerche fatte tramite Google per reindirizzare le vittime verso pagine da cui viene scaricato il malware in questione, perlopiù tramite update fasulli di Flash Player.
SideWinder
Ricercatori di sicurezza hanno recentemente scoperto sullo store ufficiale di Google tre applicazioni malevole, risultate essere parte dell’arsenale del gruppo APT indiano SideWinder.
I tre APK, Camero, FileCryptManager e callCam, funzionano insieme per compromettere il dispositivo delle vittime ed esfiltrare informazioni.
La prima si serve infatti della vulnerabilità di Android CVE-2019-2215, probabilmente già sfruttata dalla compagnia israeliana NSO Group, una falla di tipo local privilege escalation che riguarda Binder corretta lo scorso novembre. Camero e FileCrypt Manger fungono quindi da dropper. Dopo aver scaricato un file DEX dal server C&C grazie ai privilegi di root acquisiti sfruttando la falla in questione, invocano infatti un codice aggiuntivo per scaricare, installare e avviare l’APK callCam sul dispositivo. Quest’ultima abilita invece i permessi di accesso e li lancia senza che sia richiesta alcuna interazione con l’utente.
Dopodiché nasconde la sua icona e raccoglie le seguenti informazioni da inviare al C2: localizzazione, stato della batteria, file e lista delle app installate, informazioni sul dispositivo, sulla videocamera e sul Wi-Fi, screenshot e dati di account relativi a WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail e Chrome.
Le tre applicazioni malevole sono state attribuite a SideWinder perché i C2 utilizzati sembrano far parte dell’infrastruttura del gruppo.
CVE-2020-0601
Microsoft ha dato il via alla prima “Patch Tuesday” del 2020 con la divulgazione di CVE-2020-0601, un difetto molto critico nella libreria crittografica per Windows. La Patch contiene un aggiornamento per una vulnerabilità nella libreria crittografica utilizzata nelle versioni più recenti di Windows, tra cui Windows 10 e Windows Server 2016/2019. CVE-2020-0601 è stato reso noto a Microsoft dalla National Security Agency (NSA) tramite il processo di divulgazione della vulnerabilità coordinata di Microsoft.
Jasper
Ricercatori di sicurezza hanno recentemente individuato una nuova versione di Jasper ransomware (alias FTCode) che viene installata sui sistemi infetti tramite uno script VB ed un PowerShell e a cui sono state aggiunte alcune nuove feature.
Pare infatti che la minaccia, distribuita ad utenti italiani tramite false fatture di Tim, sia ora in grado di esfiltrare credenziali da client mail e dai più popolari web browser tra cui Internet Explorer, Mozilla Firefox, Mozilla Thunderbird, Google Chrome e Microsoft Outlook.
Suggerimenti
Sensibilizzare il personale ed i professionisti al fine di verificare il corretto aggiornamento dei sistemi e rammentare di non aprire mail inattese o comunque di provenienza incerta, evitando nel modo più assoluto di aprire allegati di cui non si conosce la natura e l'origine.