Un’inquietante campagna di malvertising è emersa a fine 2023, rivelando che circa un milione di dispositivi sono stati messi a rischio di furti di dati. Questa operazione, messa in luce da Microsoft, ha utilizzato GitHub come veicolo per distribuire il malware, approfittando degli utenti che frequentano siti di streaming pirata. L’attacco rappresenta un’evoluzione delle tecniche usate dai criminali informatici, sempre più capaci di superare le tradizionali misure di protezione per sottrarre informazioni sensibili.
Seguici su Google News
Ricevi i nostri aggiornamenti direttamente nel tuo feed di notizie personalizzato
Seguici ora
Indice dei contenuti
La strategia di attacco: reindirizzamenti e codice maligno
I ricercatori di Microsoft Threat Intelligence hanno rivelato un sistema complesso di reindirizzamenti che partiva da vari siti di streaming illegali. Gli utenti ignari venivano guidati attraverso quattro o cinque livelli di URL malevoli, fino a giungere a un repository GitHub dove era depositato il payload principale dell’attacco. Questo codice era progettato per installare un malware che, successivamente, scaricava ulteriori componenti dannosi.
Una volta attivato, il malware aveva la capacità di raccogliere in modo sistematico informazioni relative alla configurazione del sistema della vittima. Tra i dati estratti figuravano dettagli su memoria, capacità grafiche, risoluzione dello schermo e informazioni sul sistema operativo utilizzato. La fase successiva dell’attacco variava, ma in generale il malware stabiliva connessioni di comando e controllo per scaricare ulteriori file e trasferire dati sensibili, adottando nel contempo tecniche per eludere i sistemi di sicurezza.
Reazione di GitHub e Microsoft alla minaccia
Dopo la segnalazione della campagna malvertising, GitHub ha rapidamente rimosso i repository contenenti il materiale dannoso. Per supportare gli utenti nella difesa contro attacchi simili, Microsoft ha pubblicato diversi indicatori di compromissione. Queste misure sono state adottate non solo per mitigare i danni causati dall’attacco, ma anche per elevare il livello di consapevolezza riguardo alle tecniche di malvertising in circolazione.
Red Hat diventa autorità nel settore delle vulnerabilità open source
In un contesto parallelo, Red Hat ha assunto un ruolo di grande rilevanza nel settore della sicurezza del software open source, diventando un’autorità di numerazione CVE “di ultima istanza”. Questo sviluppo, comunicato da Pete Allor e Yogesh Mittal, rappresenta un riconoscimento dei due decenni di contribuzioni attive da parte di Red Hat agli obiettivi del Programma CVE. Tale traguardo evidenzia l’impegno dell’azienda nella promozione della sicurezza e della collaborazione all’interno del settore.
Vulnerabilità in evidenza nel panorama della sicurezza
La sicurezza informatica continua a essere messa a dura prova da vulnerabilità critiche che vengono sfruttate attivamente. Tra queste, emerge la CVE-2024-4885, relativa al software WhatsUp Gold di Progress Software, con un punteggio CVSS di 9.8. Questa vulnerabilità consente l’esecuzione di codice remoto senza necessitare di autenticazione nelle versioni precedenti alla 2023.1.3. Altri allarmi provengono da Hitachi Vantara, dove il suo Pentaho Business Analytics Server presenta diverse problematiche che permettono di aggirare le misure di sicurezza.
In aggiunta, Cisco ha recentemente notificato l’inserimento della vulnerabilità CVE-2023-20118, presente in alcuni suoi router destinati a piccole imprese, nell’elenco delle vulnerabilità attivamente sfruttate dalla CISA americana. È allarmante notare che Cisco ha optato per non correggere questi difetti, classificando l’hardware come troppo obsoleto per ricevere aggiornamenti. Al contrario, l’azienda consiglia l’acquisto di nuovi dispositivi come unica soluzione.
