Sicurezza

Rischio attacchi tramite PowerPoint. Ecco cosa c’è da sapere per mettersi al riparo

Un nuovo metodo consente di infettare sistemi utilizzando presentazioni. Il malware si avvia posizionando la freccia del mouse su un falso collegamento. Settare in modo sicuro gli strumenti Microsoft è più facile del previsto

Quotidianamente leggiamo di attacchi che utilizzano documenti Micorsoft Word per diffondere i malware più disparati. La metodica di attacco è consolidata, alla vittima viene inviata una email con allegato un documento Word contenente una macro che avvia il processo di download ed esecuzione del malware.
Per motivi di sicurezza Microsoft disabilita di default le macro, per cui per la loro esecuzione è necessario che la vittima esplicitamente le abiliti. Ciò è possibile tipicamente attraverso metodiche di ingegneria sociale che fanno leva sull’interesse della vittima per indurla ad abilitare le macro per leggere il contenuto del documento.

Gli attacchi tramite PowerPoint

La tecnica descritta è nota e consolidata, tuttavia alcuni esperti di sicurezza hanno scoperto nuovi attacchi che sfruttano su una metodica nuova basata sull’utilizzo di presentazioni PowerPoint.
Tutto è iniziato quanto alcuni di ricercatori di sicurezza hanno individuato una serie di presentazioni PowerPoint intitolate “order.ppsx” oppure “invoice.ppsx” inviate come allegati di messaggi di spam aventi come oggetto le stringhe “Purchase Order #130527” e “Confirmation,”
In questo caso i criminali non utilizzano delle macro presenti nel documento bensì l’evento “mouseover” per eseguire un codice PowerShell.
L’evento mouseover consente ad una presentazione PowerPoint di eseguire una specifica sequenza di azioni quando l’utente passa il puntatore del mouse su un’area della slide, anche senza cliccarci.
L’esperto Ruben Daniel Dodge ha pubblicato un’interessate analisi della tecnica (potete leggerla qui) che fornisce dettagli su un possibile attacco.

Come funziona l’attacco

Nello scenario di attacco presentato da Dodge, la vittima riceve una presentazione PowerPoint alla cui apertura viene visualizzato un collegamento ipertestuale che recita “Loading…Please wait”.
A questo punto è sufficiente che l’utente passi il mouse sul link, anche senza cliccare, affinché sia eseguito un codice PowerShell che di fatto avvia l’attacco.
Va detto che anche in questo caso attraverso il meccanismo noto di Visualizzazione Protetta che informa l’utente circa i rischi relative all’esecuzione del codice Powershell una volta che l’utente è passato con il mouse sul link.

Se l’utente abilita l’esecuzione del codice associato all’evento mouseover, il codice PowerShell è eseguito, da questo momento in poi il successo dell’attacco dipende dalla creatività degli attaccanti.
Nel caso osservato dai ricercatori il codice contatta il dominio “cccn.nl” per scaricare ed eseguire un file che è utilizzato a sua volta per avviare il componente per scaricare il malware finale sul PC della vittima.

Come proteggersi

Come anticipato la tecnica è già stata sfruttata da criminali in attacchi reali in cui sono stati distribuite variante di popolari codici malevoli come i Trojan bancari Zusy, Tinba, and Tiny Banker.
I ricercatori dell’azienda SentinelOne hanno osservato diversi attacchi che hanno sfruttato la tecnica, gli esperti hanno quindi deciso di pubblicare un utile rapporto (potete leggerlo qui) che include anche gli Indicatori di Compromissione per gli attacchi che possono essere utilizzati dagli amministratori di rete per configurare i propri sistemi al fine di evitare incidenti.
I ricercatori hanno poi osservato che l‘attacco basato su presentazioni PowerPoint non funzione qualora l’utente utilizzi l’applicazione PowerPoint Viewer per aprirle.
Conoscere questa tecnica e diffondere informazioni su essa è necessario per mitigare la nostra esposizione ad attori malevoli che già la stano sfruttando per attacchi in rete.
Alla prossima …

Ti potrebbe interessare anche

“Voglia di piangere”. L’attacco ransomware globale che secondo Snowden non sarebbe dovuto avvenire.

Snowden attacca: “A dispetto degli avvertimenti, la NSA ha costruito pericolosissimi strumenti d’attacco in grado di colpire software occidentale. E oggi ne paghiamo i costi”

Dal caso WannaCry alla direttiva NIS, le infrastrutture critiche sono ancora troppo vulnerabili

Secondo il rapporto dell’ICS CERT statunitense nel 2015 si è verificato un aumento (+74%) del numero di vulnerabilità nei sistemi di controllo industriale. Ecco l’occasione per ripensare il concetto di cyber security

Dopo WannaCry, l’attacco viene dai sottotitoli dei film in streaming. L’analisi di Check Point

L’azienda specializzata in prodotti relativi alla sicurezza, ha scoperto un nuovo vettore di attacco informatico. Ecco di che si tratta

Galaxy Note 8, tutte le notizie prima del lancio

Dopo la sfortunata storia del Note 7, quest’anno Samsung spera di bissare il successo del Galaxy S8. Con un terminale munito di pennino e accessori omaggio per chi prenota subito

Il motore di ricerca della moda cresce e aggiunge altre città | Papèm

La startup, guidata da Alberto Lo Bue e Carlo Alberto Lipari, dopo aver ricevuto il premio Endeavor ai MYllennium awards, ha annunciato che l’espansione non si fermerà fino a quando Papèm non sarà presente in ogni angolo di tutte le città

Android 8.0, nome in codice: Oreo

Rispettata la tradizione dei dolcetti anche nella nuova release del sistema operativo mobile di Google. Che porta in dote novità per velocità e sicurezza

Zooppa lancia il primo contest per video VR a 360°. Ecco come partecipare

C’è tempo fino al 16 ottobre, saranno selezionati i migliori video promozionali o di storytelling girati con tecnologia 360° e della durata massima di 120 secondi
Garmin è partner tecnologico dell’iniziativa e mette in palio 5 Camere VIRB 360

DevSecOps: lo sviluppo software agile attento alla sicurezza

Sviluppatori, esperti di sicurezza, reparto IT: tutti devono collaborare per creare software davvero sicuro. Un concetto che si concretizza nel DevSecOps, un modo moderno e veloce per arrivare dall’idea alla produzione senza correre rischi