Sicurezza

Rischio attacchi tramite PowerPoint. Ecco cosa c’è da sapere per mettersi al riparo

Un nuovo metodo consente di infettare sistemi utilizzando presentazioni. Il malware si avvia posizionando la freccia del mouse su un falso collegamento. Settare in modo sicuro gli strumenti Microsoft è più facile del previsto

Quotidianamente leggiamo di attacchi che utilizzano documenti Micorsoft Word per diffondere i malware più disparati. La metodica di attacco è consolidata, alla vittima viene inviata una email con allegato un documento Word contenente una macro che avvia il processo di download ed esecuzione del malware.
Per motivi di sicurezza Microsoft disabilita di default le macro, per cui per la loro esecuzione è necessario che la vittima esplicitamente le abiliti. Ciò è possibile tipicamente attraverso metodiche di ingegneria sociale che fanno leva sull’interesse della vittima per indurla ad abilitare le macro per leggere il contenuto del documento.

Gli attacchi tramite PowerPoint

La tecnica descritta è nota e consolidata, tuttavia alcuni esperti di sicurezza hanno scoperto nuovi attacchi che sfruttano su una metodica nuova basata sull’utilizzo di presentazioni PowerPoint.
Tutto è iniziato quanto alcuni di ricercatori di sicurezza hanno individuato una serie di presentazioni PowerPoint intitolate “order.ppsx” oppure “invoice.ppsx” inviate come allegati di messaggi di spam aventi come oggetto le stringhe “Purchase Order #130527” e “Confirmation,”
In questo caso i criminali non utilizzano delle macro presenti nel documento bensì l’evento “mouseover” per eseguire un codice PowerShell.
L’evento mouseover consente ad una presentazione PowerPoint di eseguire una specifica sequenza di azioni quando l’utente passa il puntatore del mouse su un’area della slide, anche senza cliccarci.
L’esperto Ruben Daniel Dodge ha pubblicato un’interessate analisi della tecnica (potete leggerla qui) che fornisce dettagli su un possibile attacco.

Come funziona l’attacco

Nello scenario di attacco presentato da Dodge, la vittima riceve una presentazione PowerPoint alla cui apertura viene visualizzato un collegamento ipertestuale che recita “Loading…Please wait”.
A questo punto è sufficiente che l’utente passi il mouse sul link, anche senza cliccare, affinché sia eseguito un codice PowerShell che di fatto avvia l’attacco.
Va detto che anche in questo caso attraverso il meccanismo noto di Visualizzazione Protetta che informa l’utente circa i rischi relative all’esecuzione del codice Powershell una volta che l’utente è passato con il mouse sul link.

Se l’utente abilita l’esecuzione del codice associato all’evento mouseover, il codice PowerShell è eseguito, da questo momento in poi il successo dell’attacco dipende dalla creatività degli attaccanti.
Nel caso osservato dai ricercatori il codice contatta il dominio “cccn.nl” per scaricare ed eseguire un file che è utilizzato a sua volta per avviare il componente per scaricare il malware finale sul PC della vittima.

Come proteggersi

Come anticipato la tecnica è già stata sfruttata da criminali in attacchi reali in cui sono stati distribuite variante di popolari codici malevoli come i Trojan bancari Zusy, Tinba, and Tiny Banker.
I ricercatori dell’azienda SentinelOne hanno osservato diversi attacchi che hanno sfruttato la tecnica, gli esperti hanno quindi deciso di pubblicare un utile rapporto (potete leggerlo qui) che include anche gli Indicatori di Compromissione per gli attacchi che possono essere utilizzati dagli amministratori di rete per configurare i propri sistemi al fine di evitare incidenti.
I ricercatori hanno poi osservato che l‘attacco basato su presentazioni PowerPoint non funzione qualora l’utente utilizzi l’applicazione PowerPoint Viewer per aprirle.
Conoscere questa tecnica e diffondere informazioni su essa è necessario per mitigare la nostra esposizione ad attori malevoli che già la stano sfruttando per attacchi in rete.
Alla prossima …

No Commenti a “Rischio attacchi tramite PowerPoint. Ecco cosa c’è da sapere per mettersi al riparo”

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Ti potrebbe interessare anche

“Voglia di piangere”. L’attacco ransomware globale che secondo Snowden non sarebbe dovuto avvenire.

Snowden attacca: “A dispetto degli avvertimenti, la NSA ha costruito pericolosissimi strumenti d’attacco in grado di colpire software occidentale. E oggi ne paghiamo i costi”

Dal caso WannaCry alla direttiva NIS, le infrastrutture critiche sono ancora troppo vulnerabili

Secondo il rapporto dell’ICS CERT statunitense nel 2015 si è verificato un aumento (+74%) del numero di vulnerabilità nei sistemi di controllo industriale. Ecco l’occasione per ripensare il concetto di cyber security

Dopo WannaCry, l’attacco viene dai sottotitoli dei film in streaming. L’analisi di Check Point

L’azienda specializzata in prodotti relativi alla sicurezza, ha scoperto un nuovo vettore di attacco informatico. Ecco di che si tratta

Dai banchi di scuola al pitch. I finalisti del progetto “A Scuola di Startup” a DigithON 2017

Il progetto realizzato da AuLab ha coinvolto per il terzo anno consecutivo studenti delle scuole secondarie superiori. Il team vincitore sarà premiato dal Gruppo Giovani Imprenditori di Confindustria Bari e Bat. Abbiamo intervistato Davide Neve, CEO di AuLab

Imparare a guidare con la realtà virtuale e aumentata. Il progetto di Guida e Vai

Salvatore Ambrosino, cofondatore e direttore commerciale di Guida e Vai, ha ideato un nuovo sistema di insegnamento per preparare all’esame di teoria le nuove generazioni. I ragazzi potranno simulare con smartphone e visore le situazioni che potrebbero incontrare su strada

Hephaestus Venture, il fondo che porta le startup italiane in Brasile

Il fondo ha la missione di supportare le startup nei processi di internazionalizzazione verso il Brasile, un mercato emergente e in forte crescita, se si pensa che il 57.4% dei finanziamenti in America Latina si concentra in questo Paese.

Cyber-Diplomacy | Che cos’è e qual è il ruolo dell’Italia (nel G7)

Le relazioni internazionali sono chiamate ad avere un ruolo specializzato al Cyber Spazio e devono agire al suo interno per supportare il complesso di accordi e regole di carattere internazionale oggi ancora incompleto in proposito