Microsoft Office e gli attacchi di phishing
0
0
La maggior parte degli attacchi di phishing sfrutta documenti Microsoft Office e tecniche di social engineering per indurre i destinatari ad abilitare le macro.
Ora gli esperti di McAfee Labs avvertono di una nuova tecnica utilizzata dagli autori delle minacce che utilizzano documenti non dannosi per disabilitare gli avvisi di sicurezza prima di eseguire il codice macro sul PC del destinatario.
Gli hacker scaricano ed eseguono DLL dannose ( ZLoader ) senza alcun codice dannoso presente nella macro iniziale degli allegati spam.
Zloader è attivo almeno dal 2016, prende in prestito alcune funzioni dal famigerato Trojan bancario Zeus 2.0.8.9 ed è stato utilizzato per diffondere un trojan bancario simile a Zeus (ovvero Zeus OpenSSL)
La catena di attacchi inizia con un messaggio di phishing utilizzando un documento Microsoft Word che, una volta aperto, ha scaricato un file Microsoft Excel protetto da password da un server remoto.
I download potrebbero iniziare solo dopo che la vittima ha abilitato le macro incorporate nel documento Word.
“Dopo aver scaricato il file XLS, Word VBA legge il contenuto della cella da XLS e crea una nuova macro per lo stesso file XLS e scrive il contenuto della cella nelle macro XLS VBA come funzioni.” leggi l’ analisi pubblicata da McAfee. “Una volta che le macro sono state scritte e pronte, il documento Word imposta il criterio nel registro su ‘Disabilita avviso macro Excel’ e richiama la funzione macro dannosa dal file Excel. Il file Excel ora scarica il payload ZLoader. Il payload ZLoader viene quindi eseguito utilizzando rundll32.exe.”
Dopo aver scaricato il file XLS, Word VBA legge il contenuto delle celle da XLS e lo utilizza per creare una nuova macro per lo stesso file XLS e scrive il contenuto della cella in macro VBA XLS come funzioni.
Una volta completate le macro, il documento di Word disabilita gli avvisi di sicurezza delle macro impostando il criterio nel registro ( HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Excel\Security\AccessVBOM ) su Disabilita avviso macro di Excel ed esegue la funzione macro dannosa di il file Excel.
Quindi il file Excel scarica ed esegue il payload Zloader utilizzando rundll32.exe.
“I documenti dannosi sono stati un punto di ingresso per la maggior parte delle famiglie di malware e questi attacchi hanno evoluto le loro tecniche di infezione e offuscamento, non limitandosi solo ai download diretti di payload da VBA, ma creando agenti dinamicamente per scaricare payload”, concludono i ricercatori. “L’utilizzo di tali agenti nella catena di infezione non è limitato solo a Word o Excel, ma ulteriori minacce possono utilizzare altri strumenti per la sopravvivenza della terra per scaricare i suoi payload”.
