Vecchie funzionalità ancora supportate usate dagli attaccanti come vettori di accesso ai sistemi informatici degli utenti

Macro XLM: gli hacker sfruttano vecchie funzionalità di Excel

Libraesva lancia l’allarme su un nuovo trend di attacchi informatici innescanati nei pc degli utenti dall’attivazione delle macro di Excel. “Non è cosa nuova vedere funzionalità del pacchetto office usate come vettori di accesso per i malintenzionati, ma le nostre recenti analisi stanno incontrando una crescente tendenza degli hacker a inserire codice malevolo in corrispondenza specifica di una delle più vecchie funzionalità di Excel – la Macro-Formula nota anche come Macro XLM. A preoccupare anche il fatto che questo codice malevolo non risulta venire intercettato dal 90% degli antivirus” dichiara Rodolfo Saccani, R&D Security Manager dell’azienda.

Excel è uno strumento del pacchetto Office noto a tutti, usato ampiamente in ambito privato e soprattutto aziendale ad esempio per computi, calcoli previsionali e budget. Con l’affinarsi nel tempo delle soluzioni di casa Microsoft, sono state mantenute valide e quindi supportate ancora oggi alcune funzionalità delle versioni iniziali, che ora si stanno mostrando essere oggetto di interesse da parte degli attaccanti che le usano come vettori di accesso ai sistemi informatici degli utenti e di propagazione quindi di campagne dannose.

La funzionalità Macro-Formula presente in tutti gli Excel è usata per veicolare un dropper capace di accogliere forme di malware di varia natura, trojan anche bancari, virus eccetera, rendendosi quindi adattabile a realizzare intenzioni malevoli sempre differenti. Da un punto di vista tecnico, nel momento in cui l’utente attiva il prompt ‘ATTIVA MACRO’, il codice malevolo crea una formula raccogliendo dati da molte celle diverse e facendo alcune trasformazioni nella scrittura del codice di difficile identificazione. Poi applica la formula utilizzando la dichiarazione FORMULA.FILL (come mostrato nell’immagine).

Macro XLM: gli hacker sfruttano vecchie funzionalità di Excel

Più che della tipologia specifica di malware, è il pattern di attacco che in Libraesva indaghiamo, supponendo che non debba mai essere consentito alcun tipo di esecuzione per i documenti consegnati via e-mail e bloccando quindi ogni sospetto nella QuickSand sandbox per analizzarlo.

Questo fenomeno di attacco tramite Excel ha iniziato a presentarsi a inizio Maggio e continua a manifestarsi da allora senza sosta. “Negli EsvaLabs abbiamo notato un mutamento nelle modalità di attacco tra Aprile e Maggio: nel primo mese infatti gli hacker mostravano preferenza di inserimento nei dropper di codice più facilmente riconoscibileda parte dei filtri antivirus. In questo mese di Maggio, i contenuti di questi ‘cavalli di troia’ si presentano invece portatori di forme di attacco sempre nuove e diversificate” precisa il manager. Considerando il fatto che il codice malevolo viene innescato proprio dall’utente nel momento in cui consente l’attivazione delle Macro in Excel, è facile comprendere perché persino i più diffusi filtri di sicurezza non riescano a intercettare immediatamente la potenziale minaccia, facendo passare e arrivare quindi le email che la contengono fino alla casella di posta elettronica dell’utente finale.

“Le email restano il vettore privilegiato dai cyber criminali per minare la sicurezza e la reputazione di aziende, istituti di credito e bancari, e soggetti privati. Ne sono testimonianza le molte campagne che intercettiamo quotidianamente negli EsvaLabs, non ultima la campagna di phishing massivo che ha interessato gli utenti italiani in questi mesi di lockdown da Covid-19, in cui questo argomento è stato usato dagli attaccanti per indurre gli utenti ad aprire allegati o link in email apparentemente innocue, e come si può immaginare di elevato interesse informativo, per realizzare gli intenti di furto di credenziali e di dati personali commenta Paolo Frizzi, ceo di Libraesva. È importante rinnovare una volta di più l’invito a prestare la massima attenzione alle comunicazioni che arrivano via email, alla loro forma e contenuto, in particolare agli allegati anche quando provengono da mittenti noti. Le evidenze mostrano infatti come purtroppo i primi ‘partner’ degli attaccanti siamo proprio noi, singoli utilizzatori della posta elettronica, che con un semplice click – di attivazione in questo caso di una Macro-Formula in Excel – inneschiamo la bomba contro i nostri stessi sistemi senza saperlo”.

Maggiori informazioni a questo link.