martedì 17 marzo 2020

Attacchi basati sulle macro di Office: come funzionano? Breve vademecum


Microsoft ha preso e sta prendendo svariati tipi di decisioni e misure per rendere i propri sistemi operativi sempre più sicuri. Questo sta portando il cyber crimine a ricorrere ad altre tipologie di attacco, anche recuperandone di vecchie, sopratutto quelle che si basano sullo sfruttamento dell'anello debole della catena della cybersicurezza, ovvero il fattore umano. Il dato è confermato da un forte aumento degli attacchi che sfruttano le macro di Office: questi sono attacchi che necessitano dell'interazione dell'utente, che deve appunto abilitare la macro contenuta in un documento Office perchè il codice dannoso possa eseguirsi sul sistema. A questo scopo può essere sufficiente una email di spam ben confezionata, che induca l'utente ad eseguire l'operazione di abilitazione della macro. Questi attacchi hanno anche un vantaggio: possono essere eseguiti su qualsiasi versione di Office

Le macro sono usate comunemente: rendono infatti possibile l'automazione di azioni semplici e ripetitive, facendo risparmiare molto tempo agli utenti. Sono scritte in VBS, Virtual Basic for Application, un linguaggio di programmazione facile, ma che può altrettanto facilmente essere compromesso da un attaccante. Un report del 2018 ha fatto emergere come le macro dei documenti Office rappresentassero quasi la metà di tutte le macro dannose in circolazione. Il caso che fece storia risale però al 2015 e vede protagonista il trojan bancario Dridex, diffuso anche in Italia, che veniva diffuso tramite email contenenti allegati Word compromessi con macro dannose: quell'anno gli attori dietro Dridex riuscirono a guadagnare più di 40 milioni di dollari solo tra Stati Uniti e Regno Unito.

Le ultime campagne email di distribuzione malware viste in Italia avevano, per la maggior parte, un simile funzionamento: per fare un esempio recente, ricordiamo la campagna di email di spam a tema Coronavirus. Le email contenevano allegati Word che richiedevano l'abilitazione della macro, usata per la diffusione del trojan Trickbot e del ransomware Ryuk,

Aprire allegati sconosciuti è molto pericoloso!
Il modus operandi è molto semplice, ma è utile descriverlo perché senza la consapevolezza degli utenti, difficilmente questi attacchi possono essere fermati. Lo schema è quasi sempre lo stesso: un allegato dannoso viene distribuito via email a un singolo utente, nel caso di campagne mirate, o a centinaia di migliaia di utenti con massive campagne di spam. Queste email sono organizzate per sembrare legittime, spesso per indurre senso di urgenza, così da convincere la vittima ad aprirle, scaricare l'allegato Word e attivare la macro. Per gli antivirus questo attacchi sono difficilmente individuabili perchè la macro quasi mai contiene direttamente il malware, ma si limita a scaricalo da altra fonte ed eseguirlo. E'proprio il fatto che le macro sono intrinsecamente semplici che le rende così pericolose. 

Il problema è che per un utente che non dovesse averne bisogno può semplicemente bloccarle, ma per una azienda bloccare le macro sull'intera rete può non essere possibile perchè spesso sono usate per scopi correlati alle attività lavorative. Ugualmente è impensabile per una azienda bloccare tutti i documenti attraverso la rete. 

Alcune indicazioni utili sono:
- eseguire costantemente l'update delle soluzioni anti malware e Microsoft office
Microsoft fornisce regolari update e patch per la Suite Office, risolvendo vulnerabilità individuate e backdoor. Ugualmente, i vendor di soluzioni antimalware adattano definizioni e funzioni al circolare di nuove tipologie di exploit o malware. Aggiornare i software garantisce la protezione dalle minacce più recenti.

- le aziende devono formare i dipendenti
Come detto, questa tipologia di attacchi ha bisogno dell'interazione dell'utente. Se gli impiegati sono all'oscuro di questi tipi di attacchi, si fideranno di email compromesse e abiliteranno le macro. Renderli consapevoli di questo tipo di attacchi e formarli affinché sappiano quali sono i "trucchetti" per distinguere una email legittima da una truffaldina è la principale difesa contro le macro dannose. In loro aiuto è però possibile stabilire un preciso protocollo per trattare le email provenienti da fonti esterne, organizzando una whitelist con i mittenti riconosciuti e ricorrenti. 

Nessun commento:

Posta un commento