Con il termine macro malware o macro virus, si indica una tipologia di software malevolo che sfrutta la programmazione VBA (Visual Basic for Applications) nelle macro di Microsoft Office per distribuire virus, worm e altre forme di infezioni di sistema.
In tutto il mondo cresce il fenomeno del macro malware e, secondo l’ultimo report “The Art of Cyebersecurity” di Trend Micro Research, l’Italia si conferma il quinto paese al mondo più colpito da questa tipologia di minaccia.
Indice degli argomenti
Cosa sono le macro
Le macro di Office, lo ricordiamo, sono codici o procedure che eseguono istruzioni in blocco, per eseguire comandi che consentono di velocizzare le operazioni di uso più frequente, come la modifica e la formattazione di un testo ma anche operazioni più complesse.
Queste macrofunzioni possono però essere utilizzate anche per creare del software malevolo che, eseguito appunto attraverso fogli di calcolo Excel e documenti Word, può compromettere in vario modo il sistema operativo.
Sebbene originariamente una macro altro non era che uno strumento che consentiva di registrare determinate sequenze di azioni per averle successivamente sempre disponibili per l’esecuzione all’interno del programma in uso e che non prevedeva alcun linguaggio di programmazione, le macro nel tempo hanno acquisito le caratteristiche funzionali degli script VBA, raggiungendo una maggiore efficienza e complessità implementativa (ad esempio, in un foglio di calcolo Excel l’esecuzione delle funzioni matematiche e logiche sono essenzialmente delle macro).
Macro Malware: come funzionano
In tutti questi casi una volta aperto l’allegato, qualora si dia seguito alla richiesta automatica di abilitazione dei comandi macro per visualizzare correttamente il contenuto, verranno, in realtà, eseguiti degli script che possono iniettare codice malevolo nei sistemi e/o eseguire altre operazioni arbitrarie.
Con l’impiego non consono di questo strumento legittimo, le infezioni possono distribuire malware di vario genere per raccogliere dati sensibili, impersonare l’identità della vittima, svuotare conti bancari o come teste di ponte per iniettare ransomware o altre forme di codice malevolo (come i famigerati Emotet, Trickbot e Ursnif, solo per citarne alcuni), arrecando seri problemi di privacy e sicurezza con perdite di dati e danni permanenti ai sistemi colpiti.
Macro malware: come si trasmettono
Il malware macro viene in genere trasmesso tramite e-mail di phishing che contengono allegati di Microsoft Office dannosi.
Al fine di renderli più credibili, i criminal hacker spesso fingendosi aziende, banche o agenzie note, presentano tali allegati spacciandoli come fatture, cartelle esattoriali o altri tipi di documenti importanti.
Una campagna di diffusione in Italia di macro malware
Di recente sono state osservate dallo CSIRT diverse campagna malspam simili con impattano su utenze italiane, attraverso cui è stato distribuito il malware bancario Ursnif/Gozi.
Nella fattispecie, in una delle campagne afferenti al MEF, la componente malevola consiste in un allegato in formato ZIP contenente un file Word che, una volta aperto, presenta un messaggio di anteprima fuorviante che potrebbe indurre l’utente ad abilitare inconsapevolmente le attività macro:
Questo file è stato creato con una versione precedente di Microsoft Office Word.
Per visualizzare il contenuto è necessario fare click sul pulsante “Abilita modifiche” situato sulla barra gialla in alto, e poi cliccare su “Abilita contenuto”.
Il codice Visual Basic interno, procedendo al prelievo di un file libreria DLL e eseguendolo tramite il componente nativo di Windows “regsvr32.exe”, in realtà compromette il sistema target con l’obiettivo di reperire dati bancari e inviarli al proprio server di presidio.
Contromisure e accorgimenti
Per proteggersi dai macro malware risulta pertanto opportuno, durante l’apertura di un file con estensione .doc, .docx, .xls, .xlsx contenente macrofunzioni, non confermare mai le richieste di disattivazione delle protezioni, indipendentemente dal fatto che si conosca o meno la fonte, ma piuttosto visualizzare il file in modalità di sola lettura.
Partendo dal presupposto che se la macro di un file non viene eseguita, il malware non sarà in grado di infettare il dispositivo, segue che la sfida più grande nella prevenzione delle infezioni da macro virus consiste nell’identificare precocemente e in modo corretto i vettori di propagazione principali ovvero le e-mail di phishing/malspam inviate anche tramite posta elettronica certifica (PEC).
Risultano pertanto utili allo scopo una serie di accorgimenti pratici da combinare con le misure di difesa usualmente adoperate come strumenti antispam e antivirus.
Infatti, mentre un filtro antispam può solo consentire di ridurre il numero di e-mail sospette che raggiungono la propria casella di posta, abbassando la probabilità di un’eventuale infezione e un antivirus, purché aggiornato, può solo avvisare e non sempre correggere una infezione causata dall’apertura di un collegamento dannoso o dal download di un file sospetto, il modo migliore per minimizzare ulteriormente una tale e potenziale minaccia potrebbe essere quello di:
- diffidare di e-mail da mittenti anche noti e/o contenenti fatture o richieste di informazioni riservate. Tramite tecniche di spoofing è possibile, infatti, falsificare non solo indirizzi e-mail ma anche account di social network e applicazioni di messaggistica istantanea;
- prestare attenzione ai documenti allegati che offrono anteprime con testi e immagini che accrescono la curiosità nel voler conoscere il contenuto del documento stesso;
- Controllare in MS Word/Excel che l’impostazione Disabilita tutte le macro con notifica sia sempre quella predefinita. In caso di necessità (anche se i passaggi potrebbero leggermente differire in base alla versione del pacchetto MS Office in uso) è possibile da menu File scegliere Opzioni e, seguendo il percorso Centro di Protezione/Impostazioni macro, optare secondo il livello di sicurezza ritenuto più adeguato alle proprie esigenze.
