Microsoft VSTO usato per distribuire malware

Microsoft VSTO usato per distribuire malware

Gli add-in per Office, creati con Microsoft Visual Studio Tools for Office, possono essere sfruttati per distribuire malware senza essere rilevati.
Microsoft VSTO usato per distribuire malware
Gli add-in per Office, creati con Microsoft Visual Studio Tools for Office, possono essere sfruttati per distribuire malware senza essere rilevati.

Gli esperti di Deep Instinct hanno scoperto un altro metodo sfruttato dai cybercriminali per distribuire malware attraverso le applicazioni Office. Il nuovo “vettore di attacco” è Microsoft Visual Studio Tools for Office (VSTO). Si tratta in pratica di un’alternativa alle macro VBA. Le principali soluzioni di sicurezza riescono a bloccare questo tipo di minaccia.

Malware distribuito con Microsoft VSTO

Come è noto, le macro VBA sono uno dei mezzi preferiti per distribuire malware. Microsoft ha finalmente deciso di bloccare la loro esecuzione nei documenti scaricati da Internet, quindi i cybercriminali hanno iniziato ad usare altri metodi, tra cui archivi ZIP/RAR e immagini ISO contenenti file LNK. Una alternativa più recente è rappresentata da VSTO.

Visual Studio Tools for Office, incluso nel famoso ambiente di sviluppo, permette di realizzare add-in per la suite di produttività, ovvero estensioni che possono eseguire codice sul computer. Gli add-in VSTO, che vengono eseguiti all’avvio di Word, Excel e altre applicazioni, possono essere inclusi nei documenti o scaricati da un server remoto.

Il primo approccio (locale) è quello preferito dai cybercriminali, in quanto consente di aggirare i meccanismi di sicurezza. Quando l’ignara vittima apre il documento non vede nessun avviso di pericolo, ma solo la richiesta di installare l’add-in. Nel caso esaminato da Deep Instinct viene eseguito uno script PowerShell che contatta un server remoto (non è noto il payload finale perché il server era offline al momento dell’analisi).

Per dimostrare il suo funzionamento, i ricercatori hanno pubblicato un “proof-of-concept” su GitHub che scarica il trojan Meterpreter. È stato creato solo a scopo accademico, quindi gli utenti non dovrebbero utilizzarlo anche se viene rilevato da Microsoft Defender e altri antivirus.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione nel rispetto del codice etico. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.
Fonte: Deep Instinct
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
6 feb 2023
Link copiato negli appunti