Il fatto che la maggior parte dei ladri entri nelle case delle vittime direttamente dalla porta d’ingresso può destare una certa sorpresa. Questo però accade perché ogni casa ne ha una e, magari, non viene nemmeno chiusa a chiave. Per molti anni, i documenti di Microsoft Office sono stati le nostre porte d’ingresso digitali.
Quasi tutti gli utenti e le organizzazioni usano i documenti di Office, che si tratti di Word, PowerPoint o Excel, ogni giorno vengono scambiate migliaia di e-mail con questo tipo di documenti in allegato. Ad esempio, negli ultimi 30 giorni, in Italia, il 78% dei file malevoli è stato consegnato via e-mail – di cui il 53% era un file PDF. Il problema è che il più delle volte non ci interroghiamo nemmeno sulla provenienza delle e-mail e degli allegati, il che facilita il lavoro agli aggressori.
L’uso dannoso dei documenti Microsoft si verifica così frequentemente che hanno persino un nome proprio, “maldocs”, e una delle tecniche principali utilizzate dagli hacker per crearli prevede lo sfruttamento delle macro di Office. Fortunatamente, Microsoft ha avviato il processo per bloccare le macro di default, ma ci è voluto un po’ di tempo per arrivarci. Ma cosa significa questo? Gli allegati sospetti non devono più preoccuparci? Qui di seguito noi di Check Point Software spieghiamo come gli attacchi via e-mail si stanno diversificando nel 2022.
Il vecchio problema delle macro
Le macro di Office sono programmi per scopi speciali che vengono sfruttati dai cyber-criminali per distribuire malware tramite allegati di posta elettronica. Chi si occupa di security combatte questa pratica da anni, ma è sempre stato chiaro che la chiave per prevenire lo sfruttamento delle macro era nelle mani della stessa Microsoft. Infatti, nel febbraio di quest’anno, Microsoft ha annunciato che avrebbe modificato le impostazioni predefinite di Office per disabilitare le macro, ma è tornata sui suoi passi a luglio, per dire poi nuovamente che il processo di disattivazione sarebbe continuato come era stato pianificato.
Sebbene il proof of concept (PoC) e gli exploit attivi che utilizzano le macro VBA risalgano al 1995, essi non presentavano questa funzionalità di “info-stealing” e venivano utilizzati principalmente per fare scherzi. Questi tipi di attacchi hanno smesso di esistere nel 2010, quando Microsoft ha introdotto la “visualizzazione protetta”, grazie a una fascia gialla che avvertiva gli utenti di non abilitare la funzionalità delle macro. I cyber-criminali hanno ricominciato però a servirsene quando si sono resi conto che, grazie al social engineering, avrebbero potuto convincere gli utenti ad abilitare le macro e quindi usarle per scaricare ed eseguire altri file binari.
Nonostante Microsoft abbia riconosciuto il problema più volte, l’uso malevolo delle macro e delle vulnerabilità di Office è diventato sempre più diffuso nel corso degli anni. L’analisi di Check Point Software ha rilevato una percentuale pari al 61% per cento di tutti i payload malevoli allegati alle e-mail e ricevute dai nostri clienti, fino a gennaio 2022, era composta da vari tipi di documenti come xlsx, xlsm, docx, doc, ppt, e altri. Gli ultimi dati di ThreatCloud mostrano che i soli file Excel costituiscono il 49% di tutti i file malevoli ricevuti via e-mail.
In genere, un’e-mail accuratamente progettata, che sfrutta il social engineering e con allegato un file Excel contenente una macro dannosa, è l’arma preferita da aggressori non particolarmente sofisticati e gruppi APT di prim’ordine.
I cyber-criminali diventano più creativi
Dopo aver annunciato l’intenzione di bloccare le macro VBA sui documenti di Office a febbraio, abbiamo assistito una svolta inaspettata nella vicenda all’inizio di luglio, quando Microsoft ha annullato la sua decisione. Rispondendo a un reclamo di un utente, un rappresentante Microsoft ha ammesso di aver annullato la decisione “sulla base del feedback”.
Microsoft ha dovuto affrontare un enorme ondata di proteste da parte degli utenti e da allora ha deciso nuovamente di bloccare le macro VBA, spiegando che il ritiro di luglio era solo temporaneo.
In questo contesto, i cyber-criminali hanno iniziato a cercare alternative per creare catene di e-mail dannose non eseguibili, che iniziano principalmente con diversi tipi di file di archivio come .ZIP e .RAR. In molti casi quei file di archivio sono protetti da password, e la password è scritta nel corpo dell’e-mail. Questi file di archivio includono spesso e volentieri il file malevolo o, in alcuni casi, un file benigno aggiuntivo che porta al file dannoso.
Ad aprile, Emotet avrebbe spedito via e-mail una serie di link tramite URL di OneDrive di file zippati contenenti file xll malevoli. Questi file xll sono librerie .dll progettate per Excel, e i cyber-criminali in genere utilizzano una funzione xlAutoOpen esportata per scaricare ed eseguire payload dannosi. Diversi strumenti e servizi esistenti, come Excel-DNA, sono già disponibili per creare downloader .xll.
Un altro tipo di file di archivio diventato un’alternativa comune ai maldocs è rappresentato dagli archivi ISO, che aggirano il meccanismo di sicurezza Mark-of-the-Web. Insieme a una combinazione di payload .hta, possono sembrare documenti legittimi, ma altresì eseguire codice dannoso in background. Bumblebee, un malware loader rilevato a febbraio, distribuisce diversi payload che spesso si traducono in attacchi ransomware e pare che inizialmente coinvolga file .iso inviati via e-mail.
A giugno, abbiamo anche segnalato che il malware Snake Keylogger era tornato nel nostro Global Threat Index, dopo una lunga assenza. In precedenza, il malware era stato generalmente diffuso tramite e-mail con allegati docx o xlsx contenenti delle macro dannose, tuttavia il suo ritorno nell’indice era il risultato della sua distribuzione tramite file PDF, probabilmente in parte a causa dell’annuncio di Microsoft.
Quindi, sebbene le macro di Internet ora siano bloccate di default, i cyber-criminali stanno continuando a far evolvere le loro tattiche, diventando più creativi con nuovi tipi di file, proprio come abbiamo riscontrato con Emotet, Bumblebee e Snake. L’uso di file di archivio diversi permette ai cyber-criminali azioni di successo, perché la maggior parte delle persone non considera quei file potenzialmente pericolosi, anzi, si fida proprio perché si trovano all’interno degli archivi e non provengono direttamente dal web. Guardando al futuro, possiamo solo aspettarci che famiglie di malware più sofisticate accelerino lo sviluppo di nuove catene di infezione, con diversi tipi di file protetti da password per evitare la detection, via via che crescerà il numero degli attacchi avanzati di social engineering.
Non è mai stato così importante per i dipendenti capire i rischi del social engineering e sapere come identificare un attacco. I cyber-criminali, infatti, spesso inviano una semplice e-mail che non contiene alcun malware, ma impersona qualcuno che conosciamo, solo per avviare una conversazione con noi. Quindi, dopo aver ottenuto la nostra fiducia, invieranno il file malevolo che potrebbe non essere più un documento di Office o un file .exe, ma un altro tipo di file come .iso o PDF o catene che combinano diversi tipi di file. La formazione dell’utente è una delle parti più importanti per una strategia di sicurezza informatica efficace, ma potrebbe anche essere utile disporre di una solida soluzione di e-mail security, che metta in quarantena e ispezioni gli allegati, impedendo innanzi tutto a qualsiasi tipo di file dannoso di entrare nella rete.
Come strumento di protezione, le aziende dovrebbero anche prendere in considerazione il blocco di queste macro tramite policy di sicurezza site-wide, che combinano sanificazione dei file e emulazione Sandbox avanzata. Questo, in particolare, è un ottimo tool per rilevare prematuramente questi documenti macro “scarica-ed-esegui”. In alternativa, un altro meccanismo di difesa potrebbe essere l’analisi dei documenti in arrivo e l’eliminazione delle macro prima che raggiungano l’utente di destinazione. Queste funzionalità, inclusa la protezione contro la maggior parte dei tipi di file ricevuti oltre ai file di Office, sono tutte disponibili nei prodotti Threat Emulation e Threat Extraction, combinati in un’unica soluzione chiamata Check Point Sandblast.
Threat Extraction consegna tempestivamente un contenuto sicuro e “sanificato” alla destinazione prevista e garantisce produttività, emulando i file di archivio discussi in precedenza; mentre il sandboxing di SandBlast Threat Emulation esegue un’analisi approfondita del file e determina se è dannoso o meno. L’utente finale può accedere al file originale se non è classificato come dannoso.
Check Point Software continua a innovare abilitando questa capacità critica sul gateway. Quindi, i file scaricati dal web o i file inviati tramite e-mail vengono estratti e puliti prima che raggiungano l’utente, creando un ambiente più sicuro.
A cura di Marco Fanuli, Security Engineer Team Leader di Check Point Software
