giovedì 5 dicembre 2019

Urnsif scatenato: seconda campagna contro utenti italiani e pubblica amministrazione


A neppure un giorno di distanza dal primo alert (ne abbiamo parlato qui) il Cert-PA lancia un secondo allarme relativo, anch'esso, a una massiva campagna di distribuzione del trojan infostealer Ursnif contro utenti italiani. Questa campagna, attualmente in corso e affiancata a quella già descritta ieri, non mira soltanto alla pubblica amministrazione, ma anche ad utenze private. La versione di Ursnif in distribuzione non si limita solo al furto di dati, ma installa anche una backdoor sul sistema infetto garantendo all'attaccante sia di accedere al sistema in qualsiasi momento (magari anche a distanza di mesi dall'infezione) sia di intercettare tutte le battiture sulla tastiera e le azioni dell'utente. 

Il Cert-Pa ha pubblicato una lista indicativa degli oggetti email di questa campagna: 
  • Sollecito pagamento
  • Sollecito di pagamento effetti
  • sollecito pagamento nostre fatture n. XXXX e XXXX  (con X = numero casuale)
  • FATTURE_(vendite)
  • pagamento provvigioni

Tutte le email allegano un file .xls recante nomi diversi, ma contenenti tutti la stessa macro dannosa.

mercoledì 4 dicembre 2019

Il trojan bancario e infostealer Ursnif diffuso via email ai comuni italiani


L'alert del Cert-PA è di ieri pomeriggio: è stata individuata una campagna di email di spam, anche tramite circuito PEC, che distribuisce ai comuni italiani il trojan bancario e per il furto di credenziali Ursnif. 

L'email vettore è piuttosto scarna: indirizzata ad una corposa lista di comuni italiani, invita al download di un archivio .ZIP e alla visualizzazione del contenuto tramite l'uso di una password allegata nel testo stesso. Una volta scaricato l'archivio ed estratto il contenuto, l'utente si trova a visualizzare un file .DOC contenente una macro dannosa, responsabile dell'avvio dell'infezione. L'infezione si avvia all'attivazione della macro. Durante la fase di compromissione, la macro scarica anche un file di tipo XML, ma rinominato in XLS: questo contiene codice Javascript da eseguire tramite l'utility WMI command-line (WMIC). 

martedì 3 dicembre 2019

StrandHogg: la devastante falla su Android già usata dai cyber criminali


E' stata individuata dai ricercatori di Promon, che hanno scritto un dettagliato report disponibile qui in inglese, una grave vulnerabilità che affligge tutte le versioni esistenti di Android. Rendiamo un breve estratto del report, data la gravità della falla scoperta (che consente di prendere totale controllo sul dispositivo Android senza necessità di eseguire il root) e dato il fatto che è già in uso da diversi gruppi di cyber criminali. 

Come funziona
Gli attaccanti stanno usando un exploit specifico che sfrutta questa falla di livello critico di Android: in dettaglio parliamo di una vulnerabilità nel sistema multitasking che può essere usata per consentire ad un'app dannosa di camuffarsi da qualsiasi altra app attiva sul dispositivo. L'exploit si basa sull'impostazione di controllo chiamata "taskAffinity" che consente a qualsiasi app (anche quelle dannose, evidentemente) si assumere liberamente qualsiasi identità nel sistema multitasking. 

Che cosa può accadere se l'exploit ha successo?

lunedì 2 dicembre 2019

Ancora Ransomware, ancora Stati Uniti: il ransomware Maze mette ko un altro grande ospedale


L'attacco è stato individuato la sera di Lunedì e il team IT del Great Plains Healt in Nebraska ha lavorato tutte la notte per mitigare i danni: eppure oggi, Lunedì 2 Dicembre, la struttura sta ancora subendo le conseguenze dell'attacco e il personale ha dovuto rispolverare carta e penna per mantenere l'attività. Già Martedì l'ospedale si è ritrovato costretto a cancellare le prenotazioni di centinaia di pazienti non urgenti, appuntamenti vari e prestazioni ambulatoriali: sono stati invece  confermati ed eseguiti sia gli interventi chirurgici già fissati che gli esami radio diagnostici. 

venerdì 29 novembre 2019

RevengeHotels: massiva campagna di attacco colpisce alberghi in vari stati (Italia compresa)


Kaspersky ha pubblicato ieri un interessante report riguardante una campagna massiva campagna di attacco contro strutture ricettive (alberghi, ostelli, bed and breakfast) in varie nazioni del mondo. La maggior parte delle infezioni si registrano in Brasile, ma risultano colpite decine di strutture anche in Argentina, Bolivia, Cile, Francia, Messico, Portogallo, Spagna e anche in Italia. Il tracciamento dei  link consentito dal servizio di abbreviazione link Bit.ly mostra come vi siano migliaia di click anche da altri paesi: la lista, insomma, è destinata ad allungarsi. 

L'attacco mira a infettare i sistemi delle strutture ricettive per sottrarre i dati delle carte di credito di ospiti e viaggiatori, ma anche per rubare le credenziali e i dati finanziari ricevuti da popolari agenzie di viaggio online come Booking.com.