Microsoft ha identificato una campagna di phishing effettuata dal gruppo Storm-0978 (noto anche come RomCom) contro organizzazioni governative occidentali. I cybercriminali russi hanno sfruttato una vulnerabilità zero-day (CVE-2023-36884) di Office che consente di eseguire codice remoto, quando la vittima apre un documento Word infetto. In attesa della patch, l’azienda di Redmond ha fornito alcune soluzioni temporanee.
Phishing e cyberspionaggio
Come hanno scoperto anche gli esperti di BlackBerry, la recente campagna di phishing ha preso di mira i rappresentanti dei paesi membri della NATO che partecipano al summit di Vilnius in Lituania. Nelle email è presente il link al sito fasullo dell’organizzazione Ukranian World Congress, sul quale sono presenti i documenti Word infetti.
Quando l’ignara vittima apre i documenti viene effettuato il collegamento al server C2 (command and control) e quindi il download di vari payload, tra cui il loader MagicSpell e la backdoor RomCom. L’esecuzione dei malware sfrutta la vecchia vulnerabilità Follina (CVE-2022-30190) e la nuova vulnerabilità zero-day CVE-2023-36884. Lo scopo dei cybercriminali è raccogliere informazioni sensibili e riservate (cyberspionaggio).
Il gruppo Storm-0978 è noto per altre campagne di phishing, ma ha effettuato anche attacchi ransomware (Industrial Spy/Underground) e furto di credenziali. Gli utenti che usano Microsoft Defender for Office 365 sono protetti contro i documenti che sfruttano la vulnerabilità CVE-2023-36884.
In attesa della patch è possibile creare la chiave di registro HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION
e aggiungere le REG_DWORD con valore 1 per ognuna delle seguenti applicazioni: Excel.exe, Graph.exe, MSAccess.exe, MSPub.exe, PowerPoint.exe, Visio.exe, WinProj.exe, WinWord.exe e Wordpad.exe
.
La soluzione temporanea potrebbe però impattare sulle funzionalità delle applicazioni Office.