L'attacco phishing ''Enable Macro''

L'esame della minaccia e i consigli per proteggersi.



[ZEUS News - www.zeusnews.it - 19-06-2017]

enable macro

Come se non sapessimo che il ransomware non è mai una bella notizia, con l'attacco di WannaCry del maggio scorso abbiamo capito a quali livelli sia arrivata l'epidemia. La portata di questo particolare attacco era incredibile, avendo colpito centinaia di migliaia di utenti in 150 Paesi.

Dal punto di vista della sicurezza, gli attacchi come WannaCry vanno studiati per capire come prevenirli o mitigarli in futuro. E anche se ormai il rischio potrebbe sembrare superato, i cybercriminali sono incredibilmente creativi e sempre alla ricerca di nuovi spunti per un nuovo grande attacco. Uno di questi, osservato di recente e già visto in passato, è un tentativo di attacco veicolato mediante una email che chiede all'utente di "abilitare le macro".

La minaccia: questa particolare minaccia tenta di convincere il destinatario a "abilitare le macro" o a "abilitare i contenuti" per lanciare l'attacco.

Sondaggio
Utilizzi la funzione di salvataggio delle password nel browser?
Sì, è molto utile
Sì, ma ora non lo farò più perché non è sicuro.
Sì, ma solo per password di poco conto.
No, per sicurezza non ho mai memorizzato alcuna password nel browser.
No, perché? Le password si possono salvare?

Mostra i risultati (5813 voti)
Leggi i commenti (17)

Il phishing "Enable Macro" usa diversi passaggi e diverse tecniche per attirare l'attenzione dell'utente e convincerlo a compiere l'azione. In questo particolare esempio, il primo passo consiste nell'inviare una mail intimidatoria che, a giudicare dall'indirizzo, sembra arrivare da un ente autorevole.

L'email contiene un documento Office in allegato. È interessante notare che il mittente non chiede una risposta, ma solo di aprire il file allegato. Per fare sembrare il messaggio importante, l'indirizzo mittente è composto in modo da apparire come se provenisse da una qualche autorità.

Cosa succede ora? Se il file viene aperto e le macro non sono abilitate, viene visualizzato l'avviso che il documento "contiene delle macro". In generale, le macro permettono agli utenti di automatizzare operazioni svolte frequentemente, ma esse rappresentano anche un rischio per la sicurezza perché qualcuno con intenti malevoli può introdurre una macro distruttiva in un file al fine di lanciare un attacco.

Per questa ragione, spesso gli amministratori di sistemi adottano una policy che non permette agli utenti di abilitare macro di loro iniziativa. In alcune organizzazioni, però, le macro di Office sono usate comunemente e gli utenti le hanno abilitate di default e saranno condizionati ad abilitarle senza esitazione se richiesto. Ulteriori informazioni sulle macro sono disponibili nelle pagine di supporto Microsoft.

Enable Content Image[2]
Ecco come potrebbe presentarsi all’utente l’avviso di “abilitare il contenuto”

Quando il file allegato viene aperto, all'utente viene chiesto di "abilitare le macro" o "abilitare i contenuti": indipendentemente dalla frase usata, il significato è sempre lo stesso. In genere, questi documenti contengono una macro chiamata "Auto_Open" o "Document_Open", ma potrebbero esserci altre varianti il cui effetto è comunque sempre quello di fare in modo che Office lanci automaticamente la macro appena il documento viene aperto.

La cosa preoccupante è che per lanciare la macro non è necessaria alcuna interazione da parte dell'utente, a parte l'apertura del file. Nel nostro caso, se il destinatario abilita le macro (o le ha già abilitate) il danno è fatto. A volte può essere la macro stessa, altre volte la macro di Office può essere un semplice downloader che recupera il vero "virus" da qualche parte nella rete.

Di questi tempi, il più diffuso è sicuramente il ransomware. Nel nostro esempio, il codice malevolo inizierebbe silenziosamente a criptare tutti i file sul computer non appena aperto il documento. Questo è un esempio di quanto facile sia lanciare un attacco ransomware tramite l'email e - come abbiamo visto per l'attacco WannaCry - le cose possono degenerare molto rapidamente.

Macros Phishing[1]

Questo particolare attacco è legato alle seguenti tecniche:
- phishing: per attivare la corrispondenza, il malintenzionato invia una email convincente da un indirizzo accuratamente congegnato per persuadere l'utente ad aprire il file allegato;
- software malevolo: l'attacco può essere lanciato o quando l'utente apre il documento o quando abilita le macro sul suo Pc. Analizzando questa particolare minaccia, abbiamo esaminato il dominio utilizzato per ricavare il quadro generale. Il dominio è stato registrato a gennaio e l'indirizzo IP del server SMTP è francese. Osservando però l'A record del dominio si scopre che esso si trova a San Pietroburgo. Ciò dimostra come, per quanto questi attacchi siano veramente globali, è molto difficile capire da dove abbiano origine. Il malfattore potrebbe essere ovunque. Quindi, prima di attivare le macro pensateci due volte.

Le aziende dovrebbero partire dal presupposto che saranno attaccate, quindi devono essere proattive. La formazione continua dei dipendenti è fondamentale per fare in modo che le persone siano consapevoli di quali minacce si possano nascondere in una mail.

Poi sono necessarie tecnologie di protezione come il sandboxing e l'advanced threat protection che aiutano a bloccare il malware prima ancora che raggiunga il mail server aziendale. In aggiunta, è possibile implementare una protezione antiphishing con Link Protection per esaminare i link che contengono codice pericoloso. I link ai siti compromessi sono bloccati anche se sepolti nel contenuto di un documento.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Windows 10 S violato in appena tre ore con le macro di Word

Commenti all'articolo (1)

A questo punto tanto vale chiedere a MS di togliere le macro da office... :wink:
9-7-2017 17:26

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Cosa utilizzi per inviare messaggi privati?
Uso varie applicazioni su qualsiasi dispositivo disponibile
Uso varie applicazioni sui miei dispositivi
Uso solo applicazioni affidabili su dispositivi di fiducia
Non invio messaggi privati online

Mostra i risultati (905 voti)
Novembre 2020
Clienti Amazon: i corrieri rubano le nostre PlayStation
Edge, una marea di estensioni pericolose ruba i dati degli utenti
Apple, multa milionaria per aver rallentato gli iPhone
Il malware che colpisce gli utenti dei siti porno
Google Foto, si va verso il servizio a pagamento
Expedia, Booking, Hotels e altri: dati degli utenti visibili e accessibili
L'aspirapolvere che recupera gli AirPod dalle rotaie
Open Shell riporta in vita il menu Start di Windows 7
WhatsApp, ora è più facile eliminare foto e video inutili
Ottobre 2020
Windows 10, Microsoft si prepara a rivoluzionare l'interfaccia
Windows 10 elimina la schermata Sistema, un trucco la riporta in vita
L'app che “spoglia” le donne: garante privacy apre istruttoria
Gasolio addio, FS vuole i treni a idrogeno
Windows 10, guai a catena dopo l'ultimo aggiornamento
Windows 10, Pc riavviati a forza per installare le web app di Office
Tutti gli Arretrati


web metrics