Attacchi da malware in documenti Word, come evitare il problema
Il malware distribuito usando documenti con macro Word “con virus” è nato praticamente insieme alle macro stesse, o quasi. Verrebbe da dire che si tratta di un grande classico, se non fosse che da anni gli esperti di sicurezza indicano che c’è un modo semplicissimo per evitarlo – disabilitare le macro e VBA, Visual Basic of Applications – ma moltissimi utenti continuano a non farlo.
Il problema riguarda utenti Windows e Mac perché le macro sono “universali” e i truffatori hanno studiato vari modi per usarle in modo da scatenare poi malware specifici per piattaforma. In questi giorni i ricercatori dei FortiGuard Labs hanno appunto identificato un nuovo documento con macro Word che circola in Rete ed è capace di infettare sia PC sia Mac.
Tipicamente il documento si riceve via email nell’ambito di una campagna di phishing più o meno mirato. A chi lo apre viene chiesto di attivare le macro Word (cosa che non va fatta) per poterlo usare completamente. Se le macro vengono attivate inizia la fase di infezione.
Il sistema usato è abbastanza ingegnoso. Il codice che serve a infettare il PC o il Mac non è nelle macro vere e proprie ma è codificato (quindi illeggibile per un profano) nel campo dei commenti. La macro Word del documento si limita a prendere il testo di quel campo e decodificarlo (è uno script in Python), identificando poi il sistema operativo del computer su cui si trova.
Nel caso si tratti di macOS lo script Python viene passato all’interprete Python presente in qualsiasi Mac. È uno script che gli esperti di sicurezza hanno già identificato varie volte e che è liberamente disponibile online. Serve a mettere in contatto il Mac colpito con un server remoto dal quale scaricare un malware vero e proprio. Fortunatamente al momento sembra che i server contattati dallo script Python non siano attivi, ma non si può mai dire.
Ovviamente il pericolo per gli utenti italiani è relativo perché difficilmente un utente prudente attiverebbe le macro Word di un documento in inglese ricevuto senza chiederlo esplicitamente. Ma vale sempre la solita raccomandazione: quando qualsiasi documento chiede di attivare le macro, la cosa migliore è non farlo. (fonte)
