Un nuovo metodo consente di infettare sistemi utilizzando presentazioni. Il malware si avvia posizionando la freccia del mouse su un falso collegamento. Settare in modo sicuro gli strumenti Microsoft è più facile del previsto
Quotidianamente leggiamo di attacchi che utilizzano documenti Micorsoft Word per diffondere i malware più disparati. La metodica di attacco è consolidata, alla vittima viene inviata una email con allegato un documento Word contenente una macro che avvia il processo di download ed esecuzione del malware.
Per motivi di sicurezza Microsoft disabilita di default le macro, per cui per la loro esecuzione è necessario che la vittima esplicitamente le abiliti. Ciò è possibile tipicamente attraverso metodiche di ingegneria sociale che fanno leva sull’interesse della vittima per indurla ad abilitare le macro per leggere il contenuto del documento.
Gli attacchi tramite PowerPoint
La tecnica descritta è nota e consolidata, tuttavia alcuni esperti di sicurezza hanno scoperto nuovi attacchi che sfruttano su una metodica nuova basata sull’utilizzo di presentazioni PowerPoint.
Tutto è iniziato quanto alcuni di ricercatori di sicurezza hanno individuato una serie di presentazioni PowerPoint intitolate “order.ppsx” oppure “invoice.ppsx” inviate come allegati di messaggi di spam aventi come oggetto le stringhe “Purchase Order #130527” e “Confirmation,”
In questo caso i criminali non utilizzano delle macro presenti nel documento bensì l’evento “mouseover” per eseguire un codice PowerShell.
L’evento mouseover consente ad una presentazione PowerPoint di eseguire una specifica sequenza di azioni quando l’utente passa il puntatore del mouse su un’area della slide, anche senza cliccarci.
L’esperto Ruben Daniel Dodge ha pubblicato un’interessate analisi della tecnica (potete leggerla qui) che fornisce dettagli su un possibile attacco.
Come funziona l’attacco
Nello scenario di attacco presentato da Dodge, la vittima riceve una presentazione PowerPoint alla cui apertura viene visualizzato un collegamento ipertestuale che recita “Loading…Please wait”.
A questo punto è sufficiente che l’utente passi il mouse sul link, anche senza cliccare, affinché sia eseguito un codice PowerShell che di fatto avvia l’attacco.
Va detto che anche in questo caso attraverso il meccanismo noto di Visualizzazione Protetta che informa l’utente circa i rischi relative all’esecuzione del codice Powershell una volta che l’utente è passato con il mouse sul link.
Se l’utente abilita l’esecuzione del codice associato all’evento mouseover, il codice PowerShell è eseguito, da questo momento in poi il successo dell’attacco dipende dalla creatività degli attaccanti.
Nel caso osservato dai ricercatori il codice contatta il dominio “cccn.nl” per scaricare ed eseguire un file che è utilizzato a sua volta per avviare il componente per scaricare il malware finale sul PC della vittima.
Come proteggersi
Come anticipato la tecnica è già stata sfruttata da criminali in attacchi reali in cui sono stati distribuite variante di popolari codici malevoli come i Trojan bancari Zusy, Tinba, and Tiny Banker.
I ricercatori dell’azienda SentinelOne hanno osservato diversi attacchi che hanno sfruttato la tecnica, gli esperti hanno quindi deciso di pubblicare un utile rapporto (potete leggerlo qui) che include anche gli Indicatori di Compromissione per gli attacchi che possono essere utilizzati dagli amministratori di rete per configurare i propri sistemi al fine di evitare incidenti.
I ricercatori hanno poi osservato che l‘attacco basato su presentazioni PowerPoint non funzione qualora l’utente utilizzi l’applicazione PowerPoint Viewer per aprirle.
Conoscere questa tecnica e diffondere informazioni su essa è necessario per mitigare la nostra esposizione ad attori malevoli che già la stano sfruttando per attacchi in rete.
Alla prossima …
