Il ritorno del macro-malware: ecco sei suggerimenti per evitarlo

Sicurezza

Le nuove osservazioni degli F-Secure Labs

Nel corso degli ultimi mesi, abbiamo individuato diversi gruppi di hacker impegnati nella diffusione di malware tramite documenti di Microsoft Office contenenti macro pericolose, rispolverando una tecnica che ormai non si vedeva quasi più da quando si sviluppò negli anni ‘90.

Per coloro che non le conoscono, le macro sono sostanzialmente degli script integrati nei file e utilizzati per automatizzare le attività in diverse applicazioni, come Microsoft Word oppure Excel, ma che possono essere impiegate anche per azioni dannose, come l’installazione di malware.

Gli autori degli attacchi interruppero l’utilizzo dei macro-malware principalmente per via dei criteri di sicurezza introdotti in Office XP (2001), che chiedevano all’utente di autorizzare l’esecuzione di macro non firmate che si presentavano integrate nei file. Questo rese gli attacchi difficili da portare a termine e, di conseguenza, la gran parte degli hacker smise di usare le macro in favore di altri metodi di diffusione dei malware.

Oggi, 15 anni dopo, i macro-malware sembrano essere tornati in auge.

NON HANNO SCOPERTO L’ACQUA CALDA

Il ritorno del macro-malware è concomitante a uno strumento ben noto: il social engineering. Ebbene, siamo nel 2015 e gli utenti aprono ancora file che già negli anni ’90 erano considerati pericolosi. Per coloro che si occupano di IT a livello aziendale, non è certo una sorpresa.

I file malevoli contenenti macro malware e le e-mail utilizzate per diffonderli sono intenzionalmente creati per trovare il favore del lettore. Con argomenti relativi all’attività svolta, come fatture di vendita, avvisi di accertamento fiscale e CV, i lettori possono essere facilmente tratti in inganno e aprire quindi l’allegato senza pensarci due volte.

La vittima è indotta a pensare che, al fine di accedere ai dati, debba innanzitutto abilitare la macro. Infatti, molti dei documenti contengono istruzioni dettagliate su come abilitare macro non attendibili. La giusta combinazione fra le istruzioni, i contenuti e i nomi dei file sono spesso sufficienti a convincere il malcapitato ad abilitare la macro, consentendo così l’esecuzione del malware.

Sotto l’aspetto tecnico, gli odierni attacchi tramite macro hanno a diposizione nuovi strumenti per garantirsi il successo, dato che la scansione delle e-mail e la protezione dallo spam di norma sono in grado di bloccarli. Per esempio, oggi i macro-malware possono utilizzare allegati con file compressi e servizi di salvataggio di dati basati su cloud (come Dropbox) nel tentativo di eludere i rilevatori. A tutti gli esperti all’ascolto farà sicuramente comodo sapere che diversi di questi recenti attacchi hanno tentato di eseguire macro sfruttando Powershell, il linguaggio di scripting nonché shell a riga di comando basato sulle attività di Microsoft.

microsoft-office-malware
microsoft-office-malware

Tuttavia, la macro stessa spesso è solamente un downloader che funge da varco per l’installazione di una backdoor nei sistemi degli utenti.

SEI SUGGERIMENTI PER CONTRASTARE GLI ATTACCHI DA MACRO-MALWARE

1) Proteggete la vostra e-mail  La protezione dagli attacchi basati su macro parte innanzitutto da un’elevata sicurezza dell’e-mail, poiché la maggior parte degli allegati, file e link sono diffusi tramite la posta elettronica. Seguite le linee guida generalmente note, ma fate maggiore attenzione a funzionalità come la rimozione e la scansione degli allegati, oltre alle verifiche di reputazione dei link e alla sicurezza.

2) Disabilitate le macro (dove possibile) Alla fine della giornata, accade raramente che sia possibile bloccare tutte le macro, tuttavia si possono impostare criteri generali al fine di consentirne l’uso esclusivamente a coloro che ne hanno bisogno. Per esempio, la maggior parte dei dipendenti non avrà alcun motivo di eseguire le macro in Word.

3) Proteggete i vostri endpoint con le tecnologie più moderne Nei casi in cui non sia possibile bloccare tutte le macro (se potete, fatelo per una maggiore protezione), ci si dovrebbe assicurare che la propria soluzione di protezione disponga di funzionalità euristiche e capacità di sicurezza basate su comportamento e reputazione. Ciò garantirà che qualunque file dannoso già rilevato altrove, insieme ai fastidiosi malware “zero-day”, vengano bloccati analizzandone l’esecuzione e il comportamento.

4) Usate software Office aggiornati La maggior parte dei macro-malware sono in formato .doc, relativo principalmente a Microsoft Office 2007 e alle versioni precedenti. Di conseguenza, è buona norma utilizzare i software Office più recenti, che dispongono di migliore protezione contro questi tipi di attacchi. Per esempio, offrono una protezione aggiuntiva contro i tentativi camuffare le estensioni “.docm” e “.xslm”.

5) Formazione dei dipendenti: insegnate a non aprire e-mail o file sospetti! Seguite le linee guida generalmente note sulla sicurezza della posta elettronica: raccomandate agli utenti di cancellare le e-mail sospette e di non aprire mai gli allegati da fonti non attendibili, specialmente se non sanno perché le hanno ricevute.

6) Formazione dei dipendenti: non eseguite le macro sui vostri computer! Diversamente dai tradizionali kit di exploit, le minacce basate su macro necessitano l’esecuzione da parte degli utenti. Alla fine della giornata, dire ai vostri dipendenti di non eseguire le macro può fare la differenza tra rimanere infettati e cavarsela al limite.

Dopo aver letto questo articolo, non vi viene spontaneo inviare un’email di promemoria ai vostri dipendenti?

7) UN ULTERIORE SUGGERIMENTO DAL NOSTRO CONSULENTE DELLA SICUREZZA

Oltre alle protezioni sopra menzionate, Sean Sullivan (Security Strategist di F-Secure) raccomanda alle aziende di investire sulla formazione concernente l’utilizzo delle e-mail: c’è meno probabilità che i dipendenti cadano nelle trappole se sanno gestire bene la loro posta elettronica.

“Così facendo, le aziende non “solo” investono denaro per incrementare la consapevolezza in termini di sicurezza, bensì ottengono, oltre a una migliore protezione, anche benefici tangibili.”

1 Commenti

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Potrebbe anche interessarti

%d blogger hanno fatto clic su Mi Piace per questo: