La campagna di malvertising scoperta da Microsoft a fine 2023 ha esposto quasi un milione di dispositivi a pericolosi furti di dati, utilizzando GitHub come piattaforma di distribuzione del malware. Questo attacco sofisticato, che prende di mira gli utenti di siti di streaming pirata, rappresenta un esempio allarmante di come i criminali informatici stiano evolvendo le loro strategie per aggirare le difese tradizionali e sottrarre informazioni sensibili.
I ricercatori di Microsoft Threat Intelligence hanno identificato un complesso sistema di reindirizzamenti che, partendo da siti di streaming illegali, conduceva gli utenti inconsapevoli attraverso quattro o cinque livelli di URL malevoli. L'obiettivo finale era un repository GitHub contenente il payload primario dell'attacco, progettato per installare codice maligno che a sua volta scaricava ulteriori componenti dannosi.
Una volta installato, il malware raccoglieva sistematicamente dati sulla configurazione del sistema della vittima, incluse informazioni sulla memoria, capacità grafiche, risoluzione dello schermo e dettagli sul sistema operativo. La terza fase dell'attacco variava, ma nella maggior parte dei casi stabiliva connessioni command and control (C2) per scaricare altri file ed estrarre dati, implementando anche tecniche di evasione delle difese.
GitHub ha rimosso i repository malevoli dopo la segnalazione, mentre Microsoft ha pubblicato numerosi indicatori di compromissione per aiutare nell'identificazione di campagne simili.
Red Hat: nuovo punto di riferimento per le vulnerabilità open source
In un significativo passo avanti per la sicurezza del software open source, Red Hat è diventata un'autorità di numerazione CVE "di ultima istanza". Come spiegato da Pete Allor e Yogesh Mittal dell'azienda, questo riconoscimento arriva dopo "oltre due decenni di contributi attivi agli obiettivi e alle iniziative del Programma CVE", rappresentando un importante traguardo nel loro impegno per l'eccellenza e la collaborazione nel settore.
Intanto, diverse vulnerabilità critiche continuano a essere sfruttate attivamente. Tra queste, spicca CVE-2024-4885 nel software WhatsUp Gold di Progress Software (CVSS 9.8), che consente l'esecuzione di codice remoto senza autenticazione nelle versioni precedenti alla 2023.1.3. Anche Hitachi Vantara presenta problemi significativi nel suo Pentaho Business Analytics Server, con diverse vulnerabilità che permettono l'aggiramento delle restrizioni di sicurezza.
Cisco ha recentemente segnalato che la vulnerabilità CVE-2023-20118, presente in alcuni router per piccole imprese, è stata aggiunta all'elenco delle vulnerabilità sfruttate attivamente dalla CISA americana. Particolarmente preoccupante è il fatto che Cisco abbia deciso di non correggere questi difetti, considerando l'hardware troppo vecchio per essere aggiornato e suggerendo invece l'acquisto di nuovi dispositivi.