Il fatto che la maggior parte dei ladri entri nelle case delle vittime direttamente dalla porta d’ingresso pu\u00f2 destare una certa sorpresa. Questo per\u00f2 accade perch\u00e9 ogni casa ne ha una e, magari, non viene nemmeno chiusa a chiave. Per molti anni, i documenti di Microsoft Office sono stati le nostre porte d’ingresso digitali.<\/p>\n
Quasi tutti gli utenti e le organizzazioni usano i documenti di Office, che si tratti di Word, PowerPoint o Excel, ogni giorno vengono scambiate migliaia di e-mail con questo tipo di documenti in allegato. Ad esempio, negli ultimi 30 giorni, in Italia, il 78% dei file malevoli \u00e8 stato consegnato via e-mail \u2013 di cui il 53% era un file PDF. Il problema \u00e8 che il pi\u00f9 delle volte non ci interroghiamo nemmeno sulla provenienza delle e-mail e degli allegati, il che facilita il lavoro agli aggressori.<\/p>\n
L’uso dannoso dei documenti Microsoft si verifica cos\u00ec frequentemente che hanno persino un nome proprio, \u201cmaldocs\u201d, e una delle tecniche principali utilizzate dagli hacker per crearli prevede lo sfruttamento delle macro di Office. Fortunatamente, Microsoft ha avviato il processo per bloccare le macro di default, ma ci \u00e8 voluto un po’ di tempo per arrivarci. Ma cosa significa questo? Gli allegati sospetti non devono pi\u00f9 preoccuparci? Qui di seguito noi di Check Point Software spieghiamo come gli attacchi via e-mail si stanno diversificando nel 2022.<\/p>\n
Il vecchio problema delle macro<\/strong><\/p>\n Le macro di Office sono programmi per scopi speciali che vengono sfruttati dai cyber-criminali per distribuire malware tramite allegati di posta elettronica. Chi si occupa di security combatte questa pratica da anni, ma \u00e8 sempre stato chiaro che la chiave per prevenire lo sfruttamento delle macro era nelle mani della stessa Microsoft. Infatti, nel febbraio di quest’anno, Microsoft ha annunciato che avrebbe modificato le impostazioni predefinite di Office per disabilitare le macro, ma \u00e8 tornata sui suoi passi a luglio, per dire poi nuovamente che il processo di disattivazione sarebbe continuato come era stato pianificato.<\/p>\n Sebbene il proof of concept (PoC) e gli exploit attivi che utilizzano le macro VBA risalgano al 1995, essi non presentavano questa funzionalit\u00e0 di \u201cinfo-stealing\u201d e venivano utilizzati principalmente per fare scherzi. Questi tipi di attacchi hanno smesso di esistere nel 2010, quando Microsoft ha introdotto la \u201cvisualizzazione protetta\u201d, grazie a una fascia gialla che avvertiva gli utenti di non abilitare la funzionalit\u00e0 delle macro. I cyber-criminali hanno ricominciato per\u00f2 a servirsene quando si sono resi conto che, grazie al social engineering, avrebbero potuto convincere gli utenti ad abilitare le macro e quindi usarle per scaricare ed eseguire altri file binari.<\/p>\n Nonostante Microsoft abbia riconosciuto il problema pi\u00f9 volte, l’uso malevolo delle macro e delle vulnerabilit\u00e0 di Office \u00e8 diventato sempre pi\u00f9 diffuso nel corso degli anni. L\u2019analisi di Check Point Software ha rilevato una percentuale pari al 61% per cento di tutti i payload malevoli allegati alle e-mail e ricevute dai nostri clienti, fino a gennaio 2022, era composta da vari tipi di documenti come xlsx, xlsm, docx, doc, ppt, e altri. Gli ultimi dati di ThreatCloud mostrano che i soli file Excel costituiscono il 49% di tutti i file malevoli ricevuti via e-mail.<\/p>\n In genere, un’e-mail accuratamente progettata, che sfrutta il social engineering e con allegato un file Excel contenente una macro dannosa, \u00e8 l’arma preferita da aggressori non particolarmente sofisticati e gruppi APT di prim’ordine.<\/p>\n I cyber-criminali diventano pi\u00f9 creativi<\/strong><\/p>\n Dopo aver annunciato l\u2019intenzione di bloccare le macro VBA sui documenti di Office a febbraio, abbiamo assistito una svolta inaspettata nella vicenda all’inizio di luglio, quando Microsoft ha annullato la sua decisione. Rispondendo a un reclamo di un utente, un rappresentante Microsoft ha ammesso di aver annullato la decisione \u201csulla base del feedback\u201d.<\/p>\n Microsoft ha dovuto affrontare un enorme ondata di proteste da parte degli utenti e da allora ha deciso nuovamente di bloccare le macro VBA, spiegando che il ritiro di luglio era solo temporaneo.<\/p>\n In questo contesto, i cyber-criminali hanno iniziato a cercare alternative per creare catene di e-mail dannose non eseguibili, che iniziano principalmente con diversi tipi di file di archivio come .ZIP e .RAR. In molti casi quei file di archivio sono protetti da password, e la password \u00e8 scritta nel corpo dell’e-mail. Questi file di archivio includono spesso e volentieri il file malevolo o, in alcuni casi, un file benigno aggiuntivo che porta al file dannoso.<\/p>\n Ad aprile, Emotet avrebbe spedito via e-mail una serie di link tramite URL di OneDrive di file zippati contenenti file xll malevoli. Questi file xll sono librerie .dll progettate per Excel, e i cyber-criminali in genere utilizzano una funzione xlAutoOpen esportata per scaricare ed eseguire payload dannosi. Diversi strumenti e servizi esistenti, come Excel-DNA, sono gi\u00e0 disponibili per creare downloader .xll.<\/p>\n Un altro tipo di file di archivio diventato un’alternativa comune ai maldocs \u00e8 rappresentato dagli archivi ISO, che aggirano il meccanismo di sicurezza Mark-of-the-Web. Insieme a una combinazione di payload .hta, possono sembrare documenti legittimi, ma altres\u00ec eseguire codice dannoso in background. Bumblebee, un malware loader rilevato a febbraio, distribuisce diversi payload che spesso si traducono in attacchi ransomware e pare che inizialmente coinvolga file .iso inviati via e-mail.<\/p>\n A giugno, abbiamo anche segnalato che il malware Snake Keylogger era tornato nel nostro Global Threat Index, dopo una lunga assenza. In precedenza, il malware era stato generalmente diffuso tramite e-mail con allegati docx o xlsx contenenti delle macro dannose, tuttavia il suo ritorno nell\u2019indice era il risultato della sua distribuzione tramite file PDF, probabilmente in parte a causa dell’annuncio di Microsoft.<\/p>\n Quindi, sebbene le macro di Internet ora siano bloccate di default, i cyber-criminali stanno continuando a far evolvere le loro tattiche, diventando pi\u00f9 creativi con nuovi tipi di file, proprio come abbiamo riscontrato con Emotet, Bumblebee e Snake. L’uso di file di archivio diversi permette ai cyber-criminali azioni di successo, perch\u00e9 la maggior parte delle persone non considera quei file potenzialmente pericolosi, anzi, si fida proprio perch\u00e9 si trovano all’interno degli archivi e non provengono direttamente dal web. Guardando al futuro, possiamo solo aspettarci che famiglie di malware pi\u00f9 sofisticate accelerino lo sviluppo di nuove catene di infezione, con diversi tipi di file protetti da password per evitare la detection, via via che crescer\u00e0 il numero degli attacchi avanzati di social engineering.<\/p>\n Non \u00e8 mai stato cos\u00ec importante per i dipendenti capire i rischi del social engineering e sapere come identificare un attacco. I cyber-criminali, infatti, spesso inviano una semplice e-mail che non contiene alcun malware, ma impersona qualcuno che conosciamo, solo per avviare una conversazione con noi. Quindi, dopo aver ottenuto la nostra fiducia, invieranno il file malevolo che potrebbe non essere pi\u00f9 un documento di Office o un file .exe, ma un altro tipo di file come .iso o PDF o catene che combinano diversi tipi di file. La formazione dell’utente \u00e8 una delle parti pi\u00f9 importanti per una strategia di sicurezza informatica efficace, ma potrebbe anche essere utile disporre di una solida soluzione di e-mail security, che metta in quarantena e ispezioni gli allegati, impedendo innanzi tutto a qualsiasi tipo di file dannoso di entrare nella rete.<\/p>\n Come strumento di protezione, le aziende dovrebbero anche prendere in considerazione il blocco di queste macro tramite policy di sicurezza site-wide, che combinano sanificazione dei file e emulazione Sandbox avanzata. Questo, in particolare, \u00e8 un ottimo tool per rilevare prematuramente questi documenti macro \u201cscarica-ed-esegui\u201d. In alternativa, un altro meccanismo di difesa potrebbe essere l’analisi dei documenti in arrivo e l’eliminazione delle macro prima che raggiungano l’utente di destinazione. Queste funzionalit\u00e0, inclusa la protezione contro la maggior parte dei tipi di file ricevuti oltre ai file di Office, sono tutte disponibili nei prodotti Threat Emulation e Threat Extraction, combinati in un’unica soluzione chiamata Check Point Sandblast.<\/p>\n Threat Extraction consegna tempestivamente un contenuto sicuro e \u201csanificato\u201d alla destinazione prevista e garantisce produttivit\u00e0, emulando i file di archivio discussi in precedenza; mentre il sandboxing di SandBlast Threat Emulation esegue un’analisi approfondita del file e determina se \u00e8 dannoso o meno. L’utente finale pu\u00f2 accedere al file originale se non \u00e8 classificato come dannoso.<\/p>\n