L’attacco, lanciato per profilare potenziali vittime per attacchi mirati, funziona sulla versione desktop e sulla versione mobile

malware 1

Gli esperti di Kaspersky Lab hanno scoperto la violazione di una funzionalità all’interno di un noto software di gestione dei documenti. La violazione ha come scopo quello di lanciare attacchi mirati di successo. Utilizzando un’applicazione dannosa che si attiva quando viene aperto office document, le informazioni relative al software installato sul dispositivo della vittima vengono inviate automaticamente ai criminali, senza dover necessariamente interagire con l’utente. Questi dati consentono ai criminali di capire quale tipo di exploit utilizzare per violare il dispositivo preso di mira.

La tecnica di attacco funziona sia sulla versione desktop che mobile di un noto software di elaborazione testi, indipendentemente dal dispositivo con il quale si apre il documento. Kaspersky Lab ha scoperto che questo metodo di profilazione viene utilizzato in the wild da un criminale di cyberspionaggio che i ricercatori dell’azienda hanno chiamato FreakyShelly. Kaspersky Lab ha riportato il problema al fornitore del software che però non ha ancora completato la patch.

Qualche tempo fa, mentre gli esperti di Kaspersky Lab indagavano sugli attacchi mirati da parte di FreakyShelly, hanno rilevato un mailing di spear-phishing di documenti in formato OLE2 (che utilizzano una tecnologia Object Linking and Embedding che consente alle applicazioni di creare documenti composti contenenti informazioni provenienti da varie fonti, anche da Internet). Una prima rapida analisi del file non aveva suscitato sospetti. Includeva un insieme di suggerimenti utili su come utilizzare al meglio il motore di ricerca di Google e non conteneva alcun exploit noto o macro malevole. Tuttavia, un’analisi più approfondita del comportamento del documento ha dimostrato che, quando è stato aperto, il documento per qualche ragione ha inviato una richiesta GET specifica a una pagina web esterna. La richiesta GET conteneva informazioni sul browser utilizzato dal dispositivo, sulla versione del sistema operativo così come i dati di un altro software installato sul dispositivo attaccato. Il problema consisteva nel fatto che questa pagina web non avrebbe dovuto ricevere nessuna richiesta dall’applicazione.

Ulteriori ricerche di Kaspersky Lab hanno dimostrato che l’attacco funziona grazie al modo in cui le informazioni tecniche che riguardano gli elementi del documento vengono elaborate e archiviate al suo interno. Ogni documento digitale contiene specifici metadati relativi allo stile, alla posizione del testo, alla fonte dalla quale vengono prelevate le immagini del documento (se esistono) e ad altri parametri. Una volta aperta, l’applicazione office legge questi parametri e quindi costruisce il documento utilizzandoli come una “mappa”.

Sulla base dei risultati dell’indagine da parte dei ricercatori di Kaspersky Lab, il parametro utilizzato per indicare l’ubicazione delle immagini utilizzate nel documento può essere modificato dai criminali attraverso manipolazioni sofisticate del codice, le quali portano l’applicazione word ad inviare delle richieste verso pagine web di proprietà del criminale.

Sebbene questa funzionalità non abiliti un attacco malware è pericolosa perché può supportare efficacemente un’attività dannosa senza che sia necessaria alcuna interazione da parte dell’utente. Inoltre, è in grado di raggiungere molte persone in tutto il mondo, grazie anche alla popolarità del software interessato. Finora abbiamo rilevato che questa funzionalità è stata utilizzata solo in un’occasione. Tuttavia, tenuto conto che è veramente difficile da individuare, ci aspettiamo che altri criminali informatici possano utilizzare questa tecnica in futuro,” ha dichiarato Morten Lehn, General Manager Italy Kaspersky Lab.