‘Hack’ al futuro: il ritorno del macro malware

Privacy, Sicurezza

Chi scrive sulla sicurezza informatica è solito usare frasi come “gli attacchi online stanno diventando sempre più sofisticati”, o “il malware è in continua evoluzione nella sua sofisticazione”.

Ma lo scorso anno F-Secure ha riscontrato una sorta di sorprendente viaggio indietro nel tempo verso un tipo di malware di un’era precedente. Un malware che usa una tecnica piuttosto vecchia, ma che ciononostante sta causando molti problemi. Sembra quasi che si sia tornati indietro nel tempo.

Sto parlando del macro malware. È qualcosa che non si è più visto in modo evidente con i primi anni 2000. E ora, come descritto nel Threat Report di F-Secure che analizza il panorama delle minacce nel 2015, ha rialzato la sua testa.

Cos’è il macro malware?

Il macro malware si avvantaggia delle funzionalità macro dei documenti Office per eseguire comandi. E le macro sono banalmente semplici shortcut che l’utente può creare per attività che si ripetono.

Per esempio, diciamo che stai creando un documento in Word ed editi ripetutamente un testo che deve essere rosso, con un highlight in giallo, 16 punti di dimensione, in corsivo, e allineato a destra. Per risparmiare tempo, puoi creare una macro dei tuoi comandi così ogni volta che hai bisogno di quel genere di formattazione, basta che attivi semplicemente la macro.

Un po’ di storia

Il macro malware risale agli anni ’90 e ai primi anni 2000. Il primo macro malware, Concept, fu scoperto nel 1995, nonostante fosse praticamente innocuo: faceva semplicemente apparire una finestra di dialogo. Nel 1999 fu scoperto uno dei macro malware più noti, Melissa. Melissa si trasmetteva via email a 50 indirizzi nella rubrica dei contatti dell’utente, diffondendosi sul 20% dei computer nel mondo.

Ma il macro malware non durò a lungo. Quando Microsoft rilasciò Word 2003, le impostazioni standard della sicurezza furono cambiate per fermare le macro dall’eseguirsi in automatico quando un documento veniva aperto. Questo rese più difficile infettare i computer attraverso le macro e gli attaccanti iniziarono ad abbandonare questa via per focalizzarsi su altri metodi.

Quindi cosa è accaduto? Perché è tornato?

Questo riemergere, secondo Sean Sullivan, Security Advisor nei Laboratori F- Secure, deve essere correlato con il venir meno di vulnerabilità che possono essere sfruttate, questo grazie ai miglioramenti nella sicurezza delle applicazioni software odierne più comuni come Microsoft Office. Gli exploit sono stati uno dei metodi più comuni per infettare macchine in anni recenti, ma con meno falle nei software da sfruttare gli autori dei malware sembrano rivolgere la loro attenzione verso altri trucchi.

In che modo ha successo

Il macro malware d’oggi tenta di aggirare le impostazioni standard di Microsoft con un semplice trucco. Quando un documento viene aperto, le informazioni in esso non appaiono in modo adeguato all’utente – per esempio, qualche volta il documento appare come distorto. Il testo nel documento chiede che le macro, o il contenuto, debbano essere attivate per una vista corretta.

Ecco un esempio:

 

Macro
Macro

Che sia la curiosità? O semplicemente la non conoscenza? Qualsiasi sia la ragione, come dice Sean, la ricomparsa del malware ha avuto successo a causa di gente che “clicca” sul comando.

Una volta che le macro sono state abilitate, il codice macro malevolo viene eseguito – e questo poi scarica il payload.

Il macro malware è usato dalle famiglie di crypto ransomware come Cryptolocker e dalle ultime minacce come Locky. Queste famiglie crittografano i dati sul computer e poi chiedono il pagamento di un riscatto per decrittografarli.

Sebbene non si sappia con certezza, è possibile che fosse un macro malware quello usato nel caso dell’Ospedale di Hollywood che è stato tenuto in ostaggio fino al pagamento del riscatto lo scorso mese.

Il Trojan bancario Dridex, che consente agli attaccanti di rubare credenziali bancarie e altre informazioni personali da macchine infette, usa anch’esso questa tecnica.

Come evitarlo

Fortunatamente, se usi la tecnologia di sicurezza di F-Secure, sei protetto da questo genere di minacce. Ma a parte ciò, i vecchi suggerimenti funzionano ancora: state attenti agli allegati di email che provengono da mittenti che non conoscete. E non attivate macro su documenti che avete ricevuto da fonti di cui non siete sicuri al 100%.

 

Il banner di “Back to the future” è di Garry Knight, Flickr.com

Articolo tratto da “Hack to the future: the return of macro malware’ di Melissa Michael, Content Producer, F-Secure Corporate Communications.

0 Commenti

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Potrebbe anche interessarti

%d blogger hanno fatto clic su Mi Piace per questo: