Aumenta di giorno in giorno il grado di sofisticazione degli strumenti utilizzati dagli hacker per compiere attacchi cyber. Tra gli stratagemmi impiegati dagli attaccanti per penetrare i sistemi degli utenti, le macro infette risultano particolarmente efficaci. Ma cosa sono? Si tratta di micro applicazioni realizzate per facilitare la gestione di documenti Word o Excel, che possono essere utilizzate dai cybercriminali per bloccare i computer degli utenti. Le macro, infatti, possono essere usate come veicolo d'infezione dalle famiglie di crypto ransomware come Cryptolocker, che cifrano i dati sui computer e i sistemi utente e chiedono il pagamento di un riscatto per decifrarli.

Le macro sono componenti necessarie per automatizzare le attività ripetitive nell'analisi dati dei fogli di calcolo o per aggiungere una formattazione complessa ai documenti di Word. Le macro più avanzate possono eseguire azioni anche piuttosto complesse su un sistema, come il donwload o l'esecuzione di codici. Gli hacker, alterando il codice, sono in grado di utilizzare i componenti in questione per provocare danni alla macchina su cui sono stati scaricati: acquisiscono informazioni sull'indirizzo IP, sono in grado di accedere alla casella di posta elettronica del malcapitato e replicarsi, inviando copie del documento infetto alla rubrica dell'ignaro utente. Si parla, in questi casi, di macro malware. I macro malware richiedono la collaborazione involontaria degli utenti per essere attivati: generalmente si diffondono sotto forma di allegati infetti di un messaggio di posta elettronica che l'ignara vittima scarica e apre, attivandoli.

Di recente è stata isolata una nuova tipologia di macro malware, particolarmente subdola perché contiene programmi malevoli molto intelligenti. I ricercatori di SentinelOne hanno scoperto un macro malware che ha la capacità di evitare il rilevamento delle macchine virtuali e degli ambienti sandbox utilizzati per le attività di prevenzione. Una volta penetrato nel sistema, infatti, il macro malware smart è in grado di nascondersi ed eseguire un'analisi ambientale per comprendere "dove" si trova, rimanendo inattivo (dormiente) anche per diverso tempo. È, infatti, in grado di capire se l'indirizzo IP del sistema preso di mira appartiene a una società di sicurezza IT e, nel caso, non viene eseguito. I macro malware smart si comportano in maniera imprevedibile, senza apparentemente mostrare evidenza di alcuna attività pericolosa, grazie alla tecnica di obfuscation utilizzata. Quando viene aperto un documento di Windows dannoso, il virus controlla che siano aperti almeno altri tre file dello stesso tipo, in modo da assicurarsi che si tratti di un sistema reale e non di un ambiente di penetration testing. Per capire se si trova su una virtual machine utilizzata per compiere attività di prevenzione, il malware cerca anche (in una sorta di blacklist) informazioni sull'indirizzo IP del sistema host: se questo indirizzo è associato a una società di sicurezza o di hosting nota, rimane inattivo, così da non essere scoperto. Se, invece, capisce di trovarsi su un PC o un sistema utente reale, si attiva. Si tratta, quindi, di una minaccia evoluta particolarmente intelligente che pone nuove sfide ai ricercatori e agli esperti di sicurezza. Richiede l'impiego di tool e servizi di sicurezza di ultima generazione. Questo vale soprattutto per l'utenza aziendale e gli smart worker in particolare, che spesso sottovalutano la protezione degli endpoint personali utilizzati per scopi di lavoro, adottando comportamenti "leggeri" forieri di danni anche piuttosto ingenti al sistema informativo aziendale.

 

6 dicembre 2017