Gli allegati di documenti di Word che diffondono malware non chiedono più di abilitare le macro
Per molti anni, l'e-mail di spam con allegati dannosi è il metodo che ha eseguito il 93% del malware[1] per gli ultimi due anni. A giudicare dalle ultime notizie di Trustwave SpiderLabs[2] ricercatori, sembra che la diffusione di malware, principalmente Trojan, Spyware, Keylogger, Worms, e Ransomware, dipenderà ulteriormente dal numero di allegati di posta elettronica dannosi che le persone apriranno. Tuttavia, gli hacker introdurranno un cambiamento importante: d'ora in poi, le persone potrebbero ricevere spam con documenti Word dannosi, allegati Excel o PowerPoint senza l'obbligo di eseguire una macro sceneggiatura. Se il malware precedente veniva eseguito solo quando la potenziale vittima abilitava le macro,[3] ora verrà attivato semplicemente facendo doppio clic su un allegato di posta elettronica.
La tecnica macro-less è già in uso
Sebbene i ricercatori siano riusciti a rilevarlo solo all'inizio di febbraio, sembra che il La tecnologia senza macro è stata rilasciata troppo prima e le potenziali vittime potrebbero averlo già fatto li ha ricevuti.
Questa nuova campagna di spam priva di macro utilizza allegati Word dannosi per attivare l'infezione in quattro fasi, che sfrutta il Vulnerabilità di Office Equation Editor (CVE-2017-11882) per ottenere l'esecuzione di codice dall'e-mail, FTP e browser. Microsoft aveva già corretto la vulnerabilità CVE-2017-11882 l'anno scorso, ma molti sistemi non hanno ricevuto la patch per qualsiasi motivo.
La tecnica Macro-free utilizzata per diffondere malware è inerente a un allegato formattato .DOCX, mentre l'origine dell'e-mail di spam è la botnet Necurs.[4] Secondo Trustwave, l'argomento può variare, ma tutti hanno una relazione finanziaria. Sono state notate quattro possibili versioni:
- ESTRATTO CONTO TNT
- Richiesta di offerta
- Notifica trasferimento telex
- COPIA SWIFT PER IL PAGAMENTO DEL SALDO
SpiderLabs ha approvato che l'allegato dannoso coincide con tutti i tipi di e-mail di spam senza macro. Secondo loro, l'allegato .DOCX è denominato "receipt.docx".
La catena della tecnica di sfruttamento Macro-free
Il processo di infezione in più fasi inizia non appena la potenziale vittima apre il file .DOCX. Quest'ultimo attiva un oggetto OLE (Object Linking and Embedding) incorporato che contiene riferimenti esterni ai server degli hacker. In questo modo, gli hacker ottengono l'accesso remoto agli oggetti OLE a cui fare riferimento in document.xml.rels.
Gli spammer sfruttano i documenti Word (o in formato .DOCX) che sono stati creati utilizzando Microsoft Office 2007. Questo tipo di documenti utilizza il formato Open XML, che si basa su tecnologie di archiviazione XML e ZIP. Gli aggressori hanno trovato il modo di manipolare queste tecnologie sia manualmente che automaticamente. Successivamente, la seconda fase inizia solo quando l'utente del PC apre il file .DOCX dannoso. Quando il file viene aperto, stabilisce la connessione remota e scarica un file RTF (rich text file format).
Quando l'utente apre il file DOCX, è possibile accedere a un file di documento remoto dall'URL: hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc. Questo è in realtà un file RTF che viene scaricato ed eseguito.
Ecco come appare schematicamente la tecnica di esecuzione del malware senza macro:
- Una potenziale vittima riceve un'e-mail con allegato un file .DOCX.
- Lui o lei fa doppio clic sull'allegato e scarica un oggetto OLE.
- Ora il presunto file Doc, che in realtà è RTF, alla fine si apre.
- Il file DOC sfrutta la vulnerabilità CVE-2017-11882 di Office Equation Editor.
- Il codice dannoso esegue una riga di comando MSHTA.
- Questo comando scarica ed esegue un file HTA, che contiene VBScript.
- Il VBScript decomprime uno script di PowerShell.
- Lo script Powershell installa successivamente il malware.
Mantieni aggiornato il sistema operativo Windows e Office per proteggerti dagli attacchi di malware senza macro
Gli esperti di sicurezza informatica non hanno ancora trovato un modo per proteggere gli account di posta elettronica delle persone dagli attacchi Necurs. Probabilmente non si troverà affatto una protezione al cento per cento. Il consiglio più importante è stare lontano dai messaggi di posta elettronica dubbi. Se non stavi aspettando un documento ufficiale, ma ne ricevi uno dal nulla, non cadere in questo trucco. Indaga su tali messaggi per errori grammaticali o di battitura perché le autorità ufficiali difficilmente lasceranno errori nelle loro notifiche ufficiali.
Oltre all'attenzione, è importante mantenere Windows e Office aggiornati. Coloro che hanno disabilitato gli aggiornamenti automatici per lungo tempo sono ad alto rischio di gravi infezioni da virus. Il sistema obsoleto e il software installato su di esso possono presentare vulnerabilità come CVE-2017-11882, che possono essere corrette solo installando gli aggiornamenti più recenti.