Microsoft ha comunicato che bloccherà l’esecuzione delle macro VBA presenti nei documenti Office scaricati da Internet per garantire una maggiore sicurezza. Gli esperti di ProofPoint hanno rilevato che i cybercriminali utilizzano ora tecniche, tattiche e procedure differenti per distribuire malware mediante un attacco di phishing. Lo scopo finale rimanere invariato, quindi è sempre consigliata l’installazione di un soluzione di sicurezza efficace, come Malwarebytes Premium.
Nuove tattiche per distribuire malware
In passato, i cybercriminali hanno sfruttato le macro di Office per colpire i bersagli degli attacchi informatici. È sufficiente creare una macro che esegue il codice infetto per distribuire il malware. Quando l’utente apre un documento scaricato da Internet o allegato ad un’email, le app di Office aggiungono un attributo particolare, noto come Mark of the Web (MOTW), mostrando un avviso nella parte superiore del documento, se è attiva la Visualizzazione protetta.
Come hanno rilevato gli esperti di ProofPoint, l’uso delle macro è diminuito del 66% tra ottobre 2021 e giugno 2022. Nello stesso intervallo di tempo è invece aumentato del 175% il numero di attacchi che sfruttano i file .LNK e soprattutto i file ISO, RAR, ZIP e IMG per aggirare il blocco delle macro.
Il file scaricato da Internet (ISO, RAR, ZIP o IMG) avrà l’attributo MOTW, ma non i file all’interno dell’immagine o dell’archivio. Quindi l’utente attiverà la macro e installerà il malware a sua insaputa. In alcuni casi, l’eseguibile del malware viene nascosto direttamente nelle immagini ISO, insieme alle DLL necessarie. L’infezione inizia quando l’ignara vittima clicca sul file .LNK incluso nell’immagine ISO. Questa tecnica viene utilizzata dal famigerato QBot.