In questo mondo online in continua crescita e cambiamento, le minacce sono diventate così comuni e difficili da rilevare che stare al sicuro è solo questione di stare un passo avanti agli aggressori.
Nuovi risultati di una ricerca pubblicata dalla società di sicurezza informatica Sophos mostrano che terzi aggressori sono stati in grado di sfruttare un exploit sperimentale di Office disponibile pubblicamente e utilizzarlo per fornire malware Formbook.
Gli aggressori sarebbero riusciti a creare un exploit in grado di aggirare una vulnerabilità critica di esecuzione di codice in modalità remota in Microsoft Office, che è stata risolta all’inizio di quest’anno.
Gli aggressori aggirano una patch critica di Microsoft Office con un exploit
Non devi tornare indietro così a lungo per capire come tutto è iniziato. A settembre, Microsoft ha rilasciato una patch per impedire agli aggressori di lanciare codice dannoso incorporato in un documento di Word.
Questa vulnerabilità ha caricato automaticamente un archivio Microsoft Cabinet (CAB) contenente un file eseguibile dannoso.
Ciò è stato ottenuto rielaborando l’exploit originale e inserendo il documento Word dannoso in un archivio RAR appositamente predisposto, che forniva una forma di exploit in grado di aggirare con successo la patch originale.
Inoltre, questo ultimo exploit è stato consegnato alle sue vittime tramite spam per circa 36 ore prima di scomparire completamente.
I ricercatori della sicurezza di Sophos ritengono che la durata limitata dell’exploit potrebbe significare che si trattava di un esperimento di prova che potrebbe essere utilizzato in attacchi futuri.
Le versioni dell’attacco precedenti alla correzione utilizzavano codice dannoso contenuto in un file Microsoft Cabinet. Quando la patch di Microsoft ha chiuso quella scappatoia, gli aggressori hanno scoperto un concetto che mostrava come il malware potesse essere combinato in un altro formato di file compresso, un archivio RAR. In precedenza, gli archivi RAR venivano utilizzati per distribuire codice dannoso, ma il processo utilizzato qui era insolitamente complesso. Molto probabilmente, questo è stato possibile solo perché l’ambito della patch era definito in modo molto ristretto e perché il programma WinRAR, di cui gli utenti hanno bisogno per aprire RAR, è molto tollerante agli errori e non sembra preoccuparsi se l’archivio è nel formato sbagliato, per esempio, a causa di una contraffazione…
È stato anche scoperto che gli aggressori hanno creato un archivio RAR anomalo in cui uno script PowerShell ha aggiunto un documento Word dannoso archiviato all’interno dell’archivio.
Per facilitare la diffusione di questo pericoloso archivio RAR e del suo contenuto dannoso, gli aggressori hanno creato e distribuito messaggi di spam in cui alle vittime veniva chiesto di decomprimere il file RAR per accedere al documento di Word.
Quindi è meglio tenerlo a mente quando si ha a che fare con questo software e se qualcosa sembra anche lontanamente sospetto.
La sicurezza dovrebbe essere la priorità numero uno per tutti noi quando navighiamo in Internet. Azioni semplici che a prima vista possono sembrare innocue possono innescare una catena di eventi e conseguenze gravi.
Anche tu sei stato vittima di questi attacchi malware? Condividi la tua esperienza con noi nella sezione commenti qui sotto.
Lascia un commento