Microsoft ha iniziato a bloccare l’esecuzione delle macro VBA contenute nei documenti Office. La funzionalità è stata sfruttata da numerosi malware, tra cui Qbot (noto anche come Qakbot). I suoi sviluppatori hanno ora cambiato tattica per infettare i computer e rubare le credenziali bancarie.
Qbot nascosto in Windows Installer
Qbot è un trojan bancario modulare che può eseguire diverse azioni pericolose, tra cui il furto di credenziali bancarie e dati personali, l’installazione di backdoor e il download di ransomware da server remoti. Il mezzo più utilizzato per avviare l’infezione è la posta elettronica. Nel messaggio è presente un link che punta a siti infetti oppure un allegato che contiene un file ZIP.
All’interno dell’archivio compresso c’è un foglio di lavoro Excel con macro. Se l’utente attiva la macro viene scaricato il malware sul computer. Dall’inizio del mese, Microsoft ha eliminato la possibilità di attivare le macro con un clic sul pulsante mostrato nella parte superiore del documento. Per ripristinare la funzionalità è necessario spuntare l’opzione di sblocco nelle proprietà del documento.
La nuova protezione riduce al minimo la diffusione della vecchia versione di Qbot. I cybercriminali hanno quindi cambiato tattica, inserendo all’interno del file ZIP un pacchetto Windows Installer infetto. Questo nuovo metodo verrà probabilmente adottato da altri malware simili che finora hanno sfruttato le macro VBA. Ovviamente il consiglio è verificare attentamente il mittente delle email e installare un soluzione di sicurezza che effettua la scansione automatica degli allegati.