L'attacco phishing ''Enable Macro''

L'esame della minaccia e i consigli per proteggersi.



[ZEUS News - www.zeusnews.it - 19-06-2017]

enable macro

Come se non sapessimo che il ransomware non è mai una bella notizia, con l'attacco di WannaCry del maggio scorso abbiamo capito a quali livelli sia arrivata l'epidemia. La portata di questo particolare attacco era incredibile, avendo colpito centinaia di migliaia di utenti in 150 Paesi.

Dal punto di vista della sicurezza, gli attacchi come WannaCry vanno studiati per capire come prevenirli o mitigarli in futuro. E anche se ormai il rischio potrebbe sembrare superato, i cybercriminali sono incredibilmente creativi e sempre alla ricerca di nuovi spunti per un nuovo grande attacco. Uno di questi, osservato di recente e già visto in passato, è un tentativo di attacco veicolato mediante una email che chiede all'utente di "abilitare le macro".

La minaccia: questa particolare minaccia tenta di convincere il destinatario a "abilitare le macro" o a "abilitare i contenuti" per lanciare l'attacco.

Sondaggio
Utilizzi la funzione di salvataggio delle password nel browser?
Sì, è molto utile
Sì, ma ora non lo farò più perché non è sicuro.
Sì, ma solo per password di poco conto.
No, per sicurezza non ho mai memorizzato alcuna password nel browser.
No, perché? Le password si possono salvare?

Mostra i risultati (5185 voti)
Leggi i commenti (16)

Il phishing "Enable Macro" usa diversi passaggi e diverse tecniche per attirare l'attenzione dell'utente e convincerlo a compiere l'azione. In questo particolare esempio, il primo passo consiste nell'inviare una mail intimidatoria che, a giudicare dall'indirizzo, sembra arrivare da un ente autorevole.

L'email contiene un documento Office in allegato. È interessante notare che il mittente non chiede una risposta, ma solo di aprire il file allegato. Per fare sembrare il messaggio importante, l'indirizzo mittente è composto in modo da apparire come se provenisse da una qualche autorità.

Cosa succede ora? Se il file viene aperto e le macro non sono abilitate, viene visualizzato l'avviso che il documento "contiene delle macro". In generale, le macro permettono agli utenti di automatizzare operazioni svolte frequentemente, ma esse rappresentano anche un rischio per la sicurezza perché qualcuno con intenti malevoli può introdurre una macro distruttiva in un file al fine di lanciare un attacco.

Per questa ragione, spesso gli amministratori di sistemi adottano una policy che non permette agli utenti di abilitare macro di loro iniziativa. In alcune organizzazioni, però, le macro di Office sono usate comunemente e gli utenti le hanno abilitate di default e saranno condizionati ad abilitarle senza esitazione se richiesto. Ulteriori informazioni sulle macro sono disponibili nelle pagine di supporto Microsoft.

Enable Content Image[2]
Ecco come potrebbe presentarsi all’utente l’avviso di “abilitare il contenuto” (Fai clic sull'immagine per visualizzarla ingrandita)

Quando il file allegato viene aperto, all'utente viene chiesto di "abilitare le macro" o "abilitare i contenuti": indipendentemente dalla frase usata, il significato è sempre lo stesso. In genere, questi documenti contengono una macro chiamata "Auto_Open" o "Document_Open", ma potrebbero esserci altre varianti il cui effetto è comunque sempre quello di fare in modo che Office lanci automaticamente la macro appena il documento viene aperto.

La cosa preoccupante è che per lanciare la macro non è necessaria alcuna interazione da parte dell'utente, a parte l'apertura del file. Nel nostro caso, se il destinatario abilita le macro (o le ha già abilitate) il danno è fatto. A volte può essere la macro stessa, altre volte la macro di Office può essere un semplice downloader che recupera il vero "virus" da qualche parte nella rete.

Di questi tempi, il più diffuso è sicuramente il ransomware. Nel nostro esempio, il codice malevolo inizierebbe silenziosamente a criptare tutti i file sul computer non appena aperto il documento. Questo è un esempio di quanto facile sia lanciare un attacco ransomware tramite l'email e - come abbiamo visto per l'attacco WannaCry - le cose possono degenerare molto rapidamente.

Macros Phishing[1]
(Fai clic sull'immagine per visualizzarla ingrandita)

Questo particolare attacco è legato alle seguenti tecniche:
- phishing: per attivare la corrispondenza, il malintenzionato invia una email convincente da un indirizzo accuratamente congegnato per persuadere l'utente ad aprire il file allegato;
- software malevolo: l'attacco può essere lanciato o quando l'utente apre il documento o quando abilita le macro sul suo Pc. Analizzando questa particolare minaccia, abbiamo esaminato il dominio utilizzato per ricavare il quadro generale. Il dominio è stato registrato a gennaio e l'indirizzo IP del server SMTP è francese. Osservando però l'A record del dominio si scopre che esso si trova a San Pietroburgo. Ciò dimostra come, per quanto questi attacchi siano veramente globali, è molto difficile capire da dove abbiano origine. Il malfattore potrebbe essere ovunque. Quindi, prima di attivare le macro pensateci due volte.

Le aziende dovrebbero partire dal presupposto che saranno attaccate, quindi devono essere proattive. La formazione continua dei dipendenti è fondamentale per fare in modo che le persone siano consapevoli di quali minacce si possano nascondere in una mail.

Poi sono necessarie tecnologie di protezione come il sandboxing e l'advanced threat protection che aiutano a bloccare il malware prima ancora che raggiunga il mail server aziendale. In aggiunta, è possibile implementare una protezione antiphishing con Link Protection per esaminare i link che contengono codice pericoloso. I link ai siti compromessi sono bloccati anche se sepolti nel contenuto di un documento.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) sotto o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Windows 10 S violato in appena tre ore con le macro di Word

Commenti all'articolo (1)

A questo punto tanto vale chiedere a MS di togliere le macro da office... :wink:
9-7-2017 17:26

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News (P.Iva 06584100967). Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quanto sei dipendente dal tuo smartphone?
Non posseggo uno smart phone.
Spesso lo dimentico e quando lo porto con me a volte lo lascio o lo dimentico spento.
Lo utilizzo con una certa frequenza, ma ne potrei fare a meno.
Per lavoro è un compagno inseparabile, ma alla sera e nei week-end lo spengo volentieri.
Lo porto sempre con me: senza mi sentirei incompleto.

Mostra i risultati (3874 voti)
Ottobre 2017
Ceo di GitHub: i programmatori sono condannati all'estinzione
Il ransomware per Android che blocca lo smartphone due volte
Il falso Adblock che ha ingannato decine di migliaia di utenti
Windows Media Player sparisce da Windows 10
Disqus violato, rubati i dati di 17,5 milioni di utenti
Il caso dell'iPhone 8 che si gonfia mentre è in carica
Gli auricolari di Google che traducono le conversazioni in tempo reale
La falla in Windows Defender che a Microsoft non interessa
Con un salto quantico, Firefox diventa più veloce di Chrome
Settembre 2017
Internet Explorer spiffera quel che digitiamo nella barra
Windows, gli ultimi aggiornamenti bloccano gli account utente
Violazione di CCleaner, guai più gravi del previsto
Il primo smartphone con Linux davvero libero
Falla nel Bluetooth, vulnerabili 5 miliardi di dispositivi
Se il robot sessuale diventa un terminator
Tutti gli Arretrati


web metrics