In un nuovo rapporto gli analisti di  HP Wolf Security hanno illustrato come una recente campagna malspam abbia utilizzato allegati PDF come vettore per documenti con macro dannose che scaricano e installano malware per il furto di informazioni sui computer delle vittime.

La scelta insolita, poiché la maggior parte delle e-mail dannose solitamente arriva con allegati Word o Excel corredati di codice macro per il caricamento di malware, consentirebbe, tuttavia, di ingannare le persone ormai abituate a prestare attenzione agli allegati malevoli di Microsoft Office.

La catena d’infezione

Il PDF allegato alla e-mail farebbe riferimento ad un rimborso a favore del destinatario accrescendo così l’interesse di chi legge ad aprire il PDF (REMMITANCE INVOICE.pdf).

Il PDF una volta aperto richiede all’utente di aprire un file DOCX opportunamente incorporato (l’analisi del file PDF rivela che il file .docx è archiviato come oggetto EmbeddedFile) e rinominato con un nome particolare. Gli autori infatti hanno avuto cura di usare la dicitura “has been verified. however pdf, jpeg, xlsx, ” come nome del file stesso. Questo farebbe in modo di travisare l’intestazione riportata sul prompt “Open file” inducendo i destinatari a credere che Adobe abbia verificato il file come legittimo e che il file sia sicuro da aprire.

L’apertura del DOCX abilitando l’esecuzione macro, scaricherebbe a sua volta un file RTF (f_document_shp.doc) da una risorsa remota (URL hardcoded “vtaurl[.]com/IHytw”).

Lo shellcode crittografato e interno all’RTF sfrutterebbe il difetto CVE-2017-11882 (un bug di esecuzione di codice remoto nell’editor delle equazioni di Microsoft corretto a novembre 2017 ma che ancora risulta disponibile per lo sfruttamento in natura) per scaricare Snake Keylogger (hxxp://192.227.196[.]211/FRESH/fresh.exe) un infostealer modulare con capacità di persistenza, evasione, accesso credenziali, raccolta ed esfiltrazione dei dati.

Adeguata consapevolezza e gestione delle vulnerabilità

“Che gli aggressori utilizzino documenti PDF (e non solo) per caricare exploit ospitati in remoto o shellcode crittografate sui dispositivi target è cosa nota.” , commenta per #MatriceDigitale Domenico Raguseo, Head of Cybersecurity, Exprivia, “Nel caso specifico il malware utilizza una vulnerabilità del 2017 ma che evidentemente in tanti ancora non hanno risolto per qualsivoglia ragione. Ne scaturisce l’importanza di una adeguata gestione delle vulnerabilità, perché se è vero che la vulnerabilità potrebbe non essere risolta, è pur vero che in questo caso si debbano implementare contro-misure adeguate per mitigare il rischio senza lasciare l’utente con il suo istinto di sopravvivenza. Ovviamente anche su questo istinto bisogna lavorare, perché il software perfetto non è stato ancora inventato e senza una adeguata consapevolezza del rischio, qualunque contro-misura risulterà prima o poi non sufficiente.”

Sicuramente la prudenza non è mai troppa.

Presentata la mondo dei webmaster “Arturo”, la versione 6 di WordPress ispirata al musicista jazz vincitore di un Grammy, Arturo O’Farrill. Noto per la sua influenza sul jazz latino contemporaneo, Arturo ha inciso più di 15 album che abbracciano cinque decenni di lavoro.

WordPress è il software open source più utilizzato al mondo per la realizzazione e gestione di siti web. La versione 6.0 rappresenta un ulteriore passo verso il “full site editing”, ovvero la possibilità di modificare ogni pixel del tuo sito, senza utilizzare template e plug in esterni.

Per maggiori informazioni ecco il comunicato stampa ufficiale : https://wordpress.org/news/2022/05/arturo/

Avere una community così attiva alle spalle permette a WordPress di reagire in maniera veloce alla scoperta di eventuali exploit. Questo non vale però per la maggior parte dei temi e plugin disponibili in maniera più o meno gratuita in rete.

Il nostro consiglio resta sempre quello di utilizzare il numero minore possibile di plugin esterni, e di attivare l’aggiornamento automatico sui security update.

Abbiamo più volte trattato l’argomento sicurezza wordpress su Matrice Digitale e la nuova versione promette di aver risolto un gran quantitativo di bug della piattaforma.

Il Canada ha vietato l’uso delle apparecchiature Huawei e del colosso tecnologico cinese ZTE nelle sue reti 5G, lo ha annunciato il suo governo.

Seguendo la linea già percorsa da altri Paesi, anche il Canada vieta l’uso dei sistemi Huawei e ZTE in merito alle reti 5G. In una dichiarazione, ha citato le preoccupazioni per la sicurezza nazionale come spinta al Ban, affermando che i fornitori potrebbero essere costretti a rispettare “direttive extragiudiziali da governi stranieri” in modi che potrebbero “entrare in conflitto con le leggi canadesi o sarebbero dannosi per gli interessi canadesi”.

Le società di telecomunicazioni non potranno acquistare nuove apparecchiature 4G o 5G dalle società e dovranno rimuovere tutte le apparecchiature 5G a marchio ZTE e Huawei dalle loro reti entro il 28 giugno 2024. Anche le apparecchiature delle reti 4G devono essere rimosse dalla fine del 2027. “Il governo si è impegnato a massimizzare i benefici sociali ed economici del 5G e l’accesso ai servizi di telecomunicazioni a grandi linee, ma non a scapito della sicurezza”, ha scritto il governo canadese nella sua dichiarazione.

La mossa rende il Canada l’ultimo membro dell’alleanza di intelligence Five Eyes ad aver posto restrizioni all’uso delle apparecchiature Huawei e ZTE nelle loro reti di comunicazione. Le società di telecomunicazioni statunitensi stanno spendendo miliardi per rimuovere e sostituire le apparecchiature nelle loro reti, mentre il Regno Unito ha vietato l’uso delle apparecchiature Huawei nel 2020 e ne ha ordinato la rimozione entro il 2027. Anche Australia e Nuova Zelanda hanno limitato l’uso delle loro apparecchiature per motivi di sicurezza nazionale.

Al centro di queste preoccupazioni c’è la legge nazionale sull’intelligence cinese, che, secondo i critici, può essere utilizzata per far collaborare organizzazioni e cittadini cinesi con il lavoro dell’intelligence statale come riferisce CBC News. L’ipotesi è che questo possa essere utilizzato con le aziende tecnologiche cinesi per arrivare ad informazioni sensibili sulle reti straniere. Huawei contesta l’affermazione e afferma in un comunicato che si basa su una lettura sbagliata della legge cinese.

Il Canada ha impiegato circa tre anni per prendere la sua decisione sull’uso delle apparecchiature Huawei e ZTE nelle sue reti di telecomunicazioni, un periodo che secondo Bloomberg ha coinciso con il peggioramento delle relazioni tra esso e la Cina. Nel dicembre 2018 infatti il Canada ha arrestato Meng Wanzhou, Chief Financial Officer di Huawei, sospettato di aver violato le sanzioni statunitensi. Qualche giorni dopo, la Cina ha imprigionato due cittadini canadesi, l’ex diplomatico Michael Spavor e l’imprenditore Michael Kovrig. Dopo che gli Stati Uniti hanno raggiunto un accordo di rinvio dell’accusa con Meng che le ha permesso di tornare in Cina l’anno scorso, i canadesi sono stati rilasciati.
I politici dell’opposizione hanno criticato il ritardo del governo canadese. “Negli anni di ritardo, le società di telecomunicazioni canadesi hanno acquistato centinaia di milioni di dollari di apparecchiature Huawei che ora dovranno essere rimosse dalle loro reti con enormi spese”, ha affermato il parlamentare conservatore Raquel Dancho in una dichiarazione riportata dal Toronto Sun. La vicenda non peserà positivamente sui conti Huawei come abbiamo già visto nel caso del Ban dagli Stati Uniti. Vedremo se la vicenda finisce qui o se si uniranno ulteriori paesi a questa esclusione tecnologica con inevitabili ripercussioni sui rapporti tra gli Stati coinvolti.

FONTE