cybersecurity

FBI avvisa: nuovi attacchi tramite virtual meeting

by

Tra il 2019 e il 2021 negli USA si sono registrati diversi attacchi di tipo BEC/EAC (Business Email Compromise / Account Email Copromise) con l’utilizzo di piattaforme di virtual meeting.
Gli attaccanti utiliizzano queste tecniche in modi diversi:

  • Violazione dell’account email di un responsabile finanziario (CEO o CFO) e successiva richiesta ad un dipendente di partecipare ad un meeting a distanza tramite una qualche piattaforma di virtual meeting. Nel corso del meeting i criminali mostrano al dipendente una foto statica del CEO / CFO (ricavata ad esempio da un profilo social) e non attivano l’audio o fanno sentire un audio molto disturbato per poi comunicare che, a causa di problemi di rete, non è possibile attivare video e audio. Il dipendente quindi viene invitato a prendere istruzioni per procedere con un qualche pagamento dalla chat della piattaforma o tramite una successiva email (proveniente sempre dall’account compromesso).
  • Violazione dell’account email di un dipendente da parte di un criminale che, in questo modo, si inserisce in un meeting virtuale per raccogliere informazioni sul business dell’organizzazione e/o su pagamenti intercettabili
  • Compromissione dell’account email di un CEO per inviare email false ad un dipendente contenenti istruzioni per un pagamento

Non ci sono protezioni automatiche contro questo tipo di attacchi, il suggerimento è quello di sensibilizzare le possibili “vittime” ad adottare particolari cautele come, ad esempio:

  • L’invitato ad un meeting che si tiene tramite una piattaforma non comunemente utilizzata nell’organizzazione dovrebbe chiedere un’ulteriore conferma ad un terzo invitato o al mittente stesso della convocazione
  • Utilizzare l’autenticazione a due fattori per confermare le richieste di modifica ad un email account aziendale
  • Assicurarsi che gli URL presenti in una email (il link di invito alla video conferenza) siano riconducibili al mittente
  • Verificare che gli hyperlink presenti nelle email non contengano nomi di dominio simili ma non esattamente identici a quello verso cui dovrebbero puntare
  • Non inviare credenziali di login di qualche tipo via email
  • Attenzione che l’indirizzo destinatario che compare cliccando su “rispondi” ad una email sia esattamente quello che ci si aspetta

Aggiornamenti di sicurezza Apple

by

Apple ha rilasciato un aggiornamento di sicurezza per i sistemi operativi di diversi dispositivi. L’aggiornamento risolve alcune vulnerabilità tra cui due “zero day”. Informazioni sui dispositivi interessati si possono trovare al seguente LINK

Oltre 90 temi e plugin per WordPress sono a rischio di attacco

by

Un imponente attacco di tipo “supply chain” ha compromesso 93 temi e plugin per WordPress inserendo una backdoor che può dare il controllo completo dei siti ad un attaccante. In totale sono stati compromessi 40 temi e 53 plugin di AccessPress, un fornitore di prodotti per WordPress utilizzati in oltre 360.000 installazioni attive.

L’attacco è stato scoperto dai ricercatori di Jetpack, azienda che sviluppa un tool di ottimizzazione per la piattaforma WordPress, i quali si sono accorti che una backdoor php è stata aggiunta ai temi e ai plugin in questione I ricercatori ritengono che i criminali abbiano attaccato AccessPress per poi infettare altri siti.

Una backdoor per prendere il controllo completo

L’obiettivo dell’attacco è l’installazione di una webshell che l’attaccante potrà utilizzare per prendere il controllo completo del sito. Installando uno dei prodotti compromessi, l’attaccante aggiunge un nuovo file “initial.php” nella diretcory principale del tema in uso e lo include nel file “functions.php”. Questo nuovo file contiene un payload in codifica base64 che scrive la webshell nel file “./wp-includes/vars.php”. Il malware completa l’opera decodificando i dati e inserendoli nel file “vars.php”, fornendo così all’attaccante il controllo remoto sul sito “infetto”.

Secondo Jetpack l’unico modo per identificare questa minaccia è l’utilizzo di una soluzione di “File Integrity Monitoring”, ovvero un processo o una tecnologia in grado di verificare se alcuni file “core” del sistema (in questo caso l’installazione WordPress) sono stati manomessi dopo l’installazione, poiché il malware cancella il file “initial.php” con cui parte l’attacco.

I ricercatori di Sucuri (società che fornisce sistemi di sicurezza per siti) hanno analizzato il malware e ritengono che l’obiettivo dell’attacco sia reindirizzare i visitatori verso siti truffa o siti distribuiscono malware. Sotto questo profilo l’attacco non sembra molto sofisticato, tuttavia è anche possibile che gli attaccanti vendano le backdoor di accesso ai siti compromessi nel dark web, cosa che potrebbe portare a vantaggi economici più concreti e immediati.

Cosa fare?

Nel caso in cui sia stato installato un tema / plugin compromesso, la semplice rimozione del tema o del plugin non riesce a eliminare il problema e l’amministratore del sito dovrebbe fare valutazioni tecniche più approfondite per trovare segni dell’attacco come, ad esempio:

  • controllare il file “vars.php” nella directory “wp-includes” attorno alle righe 146-148. Se si visualizza una funzione “wp_is_mobile_fix” con del codice nascosto (obfuscated code), il sito è compromesso
  • cercare nel file system del sito “wp_is_mobile_fix” oppure “wp-theme-connect” per identificare un eventuale file infetto
  • sostituire i file principali del sito WordPress con delle nuove copie
  • aggiornare il plugin infetto e cambiare tema
  • cambiare le password della dashboard WP e del database

Jetpack ha pubblicato una regola YARA per controllare se il sito è stato attaccato e per identificare sia il codice malevolo iniziale che la nuova webshell.

Attacco rilevato in settembre

Jetpack ha identificato l’attacco nel settembre 2021 e, poco dopo, ha verificato come i plugin gratuiti di AccessPress fossero stati tutti compromessi. Non sono stati analizzati i plugin a pagamento. La maggior parte dei prodotti sembra essere stata attaccata nei primi giorni di settembre. Ad ottobre il produttore ha rimosso le estensioni dal portale ufficiale e, il 17 gennaio 2022, ha pubblicato le nuove versioni “pulite” dei plugin.

Per quanto riguarda i temi, al momento non sono disponibili le versioni “pulite”, quindi l’unica soluzione è utilizzare un tema diverso.

Nel post di Jetpack del 18 gennaio si trova l’elenco dei temi a rischio di attacco.

(fonte: https://www.bleepingcomputer.com/news/security/over-90-wordpress-themes-plugins-backdoored-in-supply-chain-attack/)