Home Sicurezza Macro XLM: gli hacker sfruttano una delle più vecchie funzionalità di Excel

Macro XLM: gli hacker sfruttano una delle più vecchie funzionalità di Excel

-

Tempo di lettura: 3 minuti

Libraesva lancia l’allarme su un nuovo trend di attacchi informatici innescanati nei pc degli utenti dall’attivazione delle macro di Excel. “Non è cosa nuova vedere funzionalità del pacchetto office usate come vettori di accesso per i malintenzionati, ma le nostre recenti analisi stanno incontrando una crescente tendenza degli hacker a inserire codice malevolo in corrispondenza specifica di una delle più vecchie funzionalità di Excel – la Macro-Formula nota anche come Macro XLM. A preoccupare anche il fatto che questo codice malevolo non risulta venire intercettato dal 90% degli antivirus” dichiara Rodolfo Saccani, R&D Security Manager dell’azienda.

Excel è uno strumento del pacchetto Office noto a tutti, usato ampiamente in ambito privato e soprattutto aziendale ad esempio per computi, calcoli previsionali e budget. Con l’affinarsi nel tempo delle soluzioni di casa Microsoft, sono state mantenute valide e quindi supportate ancora oggi alcune funzionalità delle versioni iniziali, che ora si stanno mostrando essere oggetto di interesse da parte degli attaccanti che le usano come vettori di accesso ai sistemi informatici degli utenti e di propagazione quindi di campagne dannose.

La funzionalità Macro-Formula presente in tutti gli Excel è usata per veicolare un dropper capace di accogliere forme di malware di varia natura, trojan anche bancari, virus eccetera, rendendosi quindi adattabile a realizzare intenzioni malevoli sempre differenti. Da un punto di vista tecnico, nel momento in cui l’utente attiva il prompt ‘ATTIVA MACRO’, il codice malevolo crea una formula raccogliendo dati da molte celle diverse e facendo alcune trasformazioni nella scrittura del codice di difficile identificazione. Poi applica la formula utilizzando la dichiarazione FORMULA.FILL (come mostrato nell’immagine).

Macro XLM: gli hacker sfruttano vecchie funzionalità di Excel

Più che della tipologia specifica di malware, è il pattern di attacco che in Libraesva indaghiamo, supponendo che non debba mai essere consentito alcun tipo di esecuzione per i documenti consegnati via e-mail e bloccando quindi ogni sospetto nella QuickSand sandbox per analizzarlo.

Questo fenomeno di attacco tramite Excel ha iniziato a presentarsi a inizio Maggio e continua a manifestarsi da allora senza sosta. “Negli EsvaLabs abbiamo notato un mutamento nelle modalità di attacco tra Aprile e Maggio: nel primo mese infatti gli hacker mostravano preferenza di inserimento nei dropper di codice più facilmente riconoscibileda parte dei filtri antivirus. In questo mese di Maggio, i contenuti di questi ‘cavalli di troia’ si presentano invece portatori di forme di attacco sempre nuove e diversificate” precisa il manager. Considerando il fatto che il codice malevolo viene innescato proprio dall’utente nel momento in cui consente l’attivazione delle Macro in Excel, è facile comprendere perché persino i più diffusi filtri di sicurezza non riescano a intercettare immediatamente la potenziale minaccia, facendo passare e arrivare quindi le email che la contengono fino alla casella di posta elettronica dell’utente finale.

“Le email restano il vettore privilegiato dai cyber criminali per minare la sicurezza e la reputazione di aziende, istituti di credito e bancari, e soggetti privati. Ne sono testimonianza le molte campagne che intercettiamo quotidianamente negli EsvaLabs, non ultima la campagna di phishing massivo che ha interessato gli utenti italiani in questi mesi di lockdown da Covid-19, in cui questo argomento è stato usato dagli attaccanti per indurre gli utenti ad aprire allegati o link in email apparentemente innocue, e come si può immaginare di elevato interesse informativo, per realizzare gli intenti di furto di credenziali e di dati personali commenta Paolo Frizzi, ceo di Libraesva. È importante rinnovare una volta di più l’invito a prestare la massima attenzione alle comunicazioni che arrivano via email, alla loro forma e contenuto, in particolare agli allegati anche quando provengono da mittenti noti. Le evidenze mostrano infatti come purtroppo i primi ‘partner’ degli attaccanti siamo proprio noi, singoli utilizzatori della posta elettronica, che con un semplice click – di attivazione in questo caso di una Macro-Formula in Excel – inneschiamo la bomba contro i nostri stessi sistemi senza saperlo”.

Maggiori informazioni a questo link.

Redazione BitMAThttps://www.bitmat.it/
BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.
  • Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

  • I più letti

    Unicoop Tirreno ha scelto la fatturazione digitale di Siav

    Unicoop Tirreno ha scelto la fatturazione digitale di Siav

    Il modulo Task on Demand permette alla cooperativa di seguire da remoto ogni fase del ciclo di fatturazione passiva
    Bolzoni sceglie il Corporate Performance Management di Talentia

    Bolzoni SpA sceglie il Corporate Performance Management di Talentia

    Il sistema gestionale ottimizza e integra i processi di pianificazione finanziaria, budget e reporting
    FINIX Technology Solution S.p.A.

    FINIX Technology Solutions cambia sede e sceglie l’home office

    L'HUB tecnologico segue il modello di innovazione delle principali aziende tech mondiali e sposta i propri uffici di Milano nel CoWorking Space di WeWork, incentivando lo smart working e l’home office per i propri dipendenti
    GoSign Grapho: firme grafometriche raccolte via tabletm infocert

    InfoCert acquisisce il 16,7% della tedesca Authada

    InfoCert firma un accordo strategico per acquisire il 16,7% di Authada, identity provider tedesco all'avanguardia
    MyLinkem App: strumento digitale per i rapporti con i clienti

    MyLinkem App: un nuovo strumento digitale per i rapporti con i clienti

    Nata dalla collaborazione tra Linkem e IQUII, la app è disponibile su Google Play e App Store