- Gli aggressori hanno trovato un nuovo modo all'interno del tuo computer, lasciando tutti i tuoi dati esposti.
- Questa volta, ingegnosi criminali informatici hanno sfruttato una patch critica di Microsoft Office.
In questo mondo online in continua crescita e in continua evoluzione, le minacce sono diventate così comuni e così difficili da rilevare che rimanere protetti è solo questione di rimanere un passo avanti agli aggressori.
Nuovi risultati della ricerca pubblicati dalla società di sicurezza informatica Sophos, mostrano che terze parti malintenzionate sono state in grado di prendere un exploit di Office proof-of-concept disponibile pubblicamente e utilizzarlo come arma per distribuire il malware Formbook.
Presumibilmente, i criminali informatici sono effettivamente riusciti a creare un exploit in grado di aggirare una vulnerabilità critica di esecuzione di codice remoto in Microsoft Office, che è stata corretta all'inizio di quest'anno.
Gli aggressori aggirano la patch critica di Microsoft Office con exploit
Non devi tornare indietro nel tempo così a lungo per capire dove tutto è iniziato. A settembre, Microsoft ha rilasciato una patch per impedire agli aggressori di eseguire codice dannoso incorporato in un documento di Word.
Grazie a questo difetto, un archivio Microsoft Cabinet (CAB), contenente un eseguibile dannoso, verrebbe scaricato automaticamente.
Ciò è stato ottenuto rielaborando l'exploit originale e inserendo il documento Word dannoso all'interno di a archivio RAR appositamente predisposto, che ha fornito una forma dell'exploit in grado di eludere con successo il toppa originale.
Inoltre, quest'ultimo exploit è stato consegnato alle sue vittime utilizzando e-mail di spam per circa 36 ore prima di scomparire completamente.
I ricercatori della sicurezza di Sophos ritengono che la durata limitata dell'exploit potrebbe significare che si trattava di un esperimento di prova che potrebbe essere utilizzato in attacchi futuri.
Le versioni pre-patch dell'attacco hanno coinvolto codice dannoso confezionato in un file Microsoft Cabinet. Quando la patch di Microsoft ha chiuso quella scappatoia, gli aggressori hanno scoperto un proof of concept che mostrava come si poteva raggruppare il malware in un diverso formato di file compresso, un archivio RAR. Gli archivi RAR sono stati utilizzati in precedenza per distribuire codice dannoso, ma il processo utilizzato qui era insolitamente complicato. Probabilmente è riuscito solo perché il mandato della patch era definito in modo molto ristretto e perché il programma WinRAR che gli utenti devono aprire il RAR è molto tollerante ai guasti e non sembra preoccuparsi se l'archivio è malformato, ad esempio, perché è stato manomesso.
È stato anche scoperto che gli aggressori responsabili avevano creato un archivio RAR anomalo che aveva uno script PowerShell che anteponeva un documento Word dannoso archiviato all'interno dell'archivio.
Per aiutare a diffondere questo pericoloso archivio RAR e i suoi contenuti dannosi, gli aggressori hanno creato ed e-mail di spam distribuite che invitavano le vittime a decomprimere il file RAR per accedere a Word documento.
Quindi è meglio tenerlo a mente quando si ha a che fare con questo software e se qualcosa sembra anche lontanamente sospetto.
Rimanere al sicuro dovrebbe essere la priorità numero uno per tutti noi quando abbiamo a che fare con Internet. Azioni semplici che potrebbero sembrare innocue in primo luogo, potrebbero innescare serie catene di eventi e conseguenze.
Anche tu sei stato vittima di questi attacchi malware? Condividi la tua esperienza con noi nella sezione commenti qui sotto.
