Gli esperti di Deep Instinct hanno scoperto un altro metodo sfruttato dai cybercriminali per distribuire malware attraverso le applicazioni Office. Il nuovo “vettore di attacco” è Microsoft Visual Studio Tools for Office (VSTO). Si tratta in pratica di un’alternativa alle macro VBA. Le principali soluzioni di sicurezza riescono a bloccare questo tipo di minaccia.
Malware distribuito con Microsoft VSTO
Come è noto, le macro VBA sono uno dei mezzi preferiti per distribuire malware. Microsoft ha finalmente deciso di bloccare la loro esecuzione nei documenti scaricati da Internet, quindi i cybercriminali hanno iniziato ad usare altri metodi, tra cui archivi ZIP/RAR e immagini ISO contenenti file LNK. Una alternativa più recente è rappresentata da VSTO.
Visual Studio Tools for Office, incluso nel famoso ambiente di sviluppo, permette di realizzare add-in per la suite di produttività, ovvero estensioni che possono eseguire codice sul computer. Gli add-in VSTO, che vengono eseguiti all’avvio di Word, Excel e altre applicazioni, possono essere inclusi nei documenti o scaricati da un server remoto.
Il primo approccio (locale) è quello preferito dai cybercriminali, in quanto consente di aggirare i meccanismi di sicurezza. Quando l’ignara vittima apre il documento non vede nessun avviso di pericolo, ma solo la richiesta di installare l’add-in. Nel caso esaminato da Deep Instinct viene eseguito uno script PowerShell che contatta un server remoto (non è noto il payload finale perché il server era offline al momento dell’analisi).
Per dimostrare il suo funzionamento, i ricercatori hanno pubblicato un “proof-of-concept” su GitHub che scarica il trojan Meterpreter. È stato creato solo a scopo accademico, quindi gli utenti non dovrebbero utilizzarlo anche se viene rilevato da Microsoft Defender e altri antivirus.