È stata identificata una nuova variante del malware bancario Zloader che sfrutta una tecnica innovativa per scaricare ed eseguire DLL (nella fattispecie il payload malevolo) con l’ausilio di un codice macro iniziale non malevolo presente negli allegati delle e-mail di spam.
L’escamotage che consente di disattivare preventivamente gli alert dei client di posta e superare eventuali filtri è stato scoperto dai ricercatori dei McAfee Labs.
Indice degli argomenti
L’allegato Word e l’inganno iniziale
Il vettore di attacco iniziale è un’e-mail di phishing con allegato un documento di Microsoft Word.
Poiché l’esecuzione delle macro sono per impostazione predefinita disabilitate da Microsoft Office, gli autori della campagna malspam hanno pensato di presentare un’immagine esca come facciata principale del documento una volta aperto, allo scopo di indurre le vittime con l’inganno all’abilitazione delle macro.
Tale schermata propina, infatti, un falso pulsante di attivazione di compatibilità alludendo che sia necessaria per una corretta visualizzazione e successivo editing del documento, ma che in realtà non fa altro che abilitare le funzionalità macro.
Zloader, la catena d’infezione
Quando il documento viene aperto e le macro sono abilitate, ecco che ha inizio la catena di infezione della nuova variante di Zloader:
- il documento Word, scarica e apre un documento Microsoft Excel protetto da password. Il documento Word contiene un modulo utente con delle caselle combinate in cui è archiviato tutto il necessario per connettersi al documento Excel remoto (oggetto Excel, URL e password i5x0wbqe81s);
- Dopo aver scaricato il file .XLS, il documento di Word Visual Basic, Applications Edition (VBA) legge il contenuto delle celle del file Excel appena scaricato;
- Word VBA scrive nel VBA XLS del file scaricato una nuova macro, ricostruendo le relative funzioni dalle stringhe parziali prelevate nel passo precedente e contenute nelle relative celle. Una volta scritta la nuova macro, il documento Word imposta il criterio nel registro (HKEY_CURRENT_USERSoftwareMicrosoftOffice12.0ExcelSecurityAccessVBOM) su Disabilita avviso macro di Excel e richiama dinamicamente la funzione macro dannosa dal file Excel senza generare alcun avviso di Microsoft Office;
- la macro Excel (tramite la chiamata di funzione Auto_Open3() scarica il payload Zloader da hxxp:// heavenlm[.]com/22.php?5PH8Z con estensione .cpl e, dopo averlo salvato nella cartella %temp% lo esegue utilizzando la seguente riga di comando Windows: rundll32.exe shell32.dll,Control_RunDLL “<percorso dll scaricato>. La sequenza rundll32.exe,shell32.dll,Control_RunDLL consente di richiamare il pannello di controllo (control.exe) passando come parametro il percorso della DLL che verrò eseguita.
Il vero “volto” del file Excel
Come evidenziato dal team di ricerca di McAfee Labs, il foglio di lavoro del file Excel protetto da password e ospitato su di un server esterno (hxxp://heavenlygem[.]com/11.php) presenta delle celle che memorizzano, in modo apparentemente casuale, dei blocchi di stringhe che, adeguatamente concatenate dall’algoritmo malevolo, formeranno la macro VBA nella fase successiva.
Zloader: prevenzione e accorgimenti
Alla luce di quest’ultima scoperta, per proteggersi da un’eventuale infezione da macro malware, durante l’apertura di un file (con estensione .doc, .docx, .xls, .xlsx), risulta fondamentale non solo non confermare mai le eventuali richieste di disattivazione delle protezioni, ma prestare attenzione anche ai falsi avvisi di abilitazione di qualsiasi genere indipendentemente dal fatto che si conosca o meno la fonte e il mittente.
Affinché si possano identificare precocemente e in modo corretto i vettori di propagazione principali quali e-mail di phishing e malspam inviate anche tramite PEC, risulta utile combinare opportunamente una serie di accorgimenti pratici con le misure di difesa garantite dagli strumenti antispam e antivirus che possono ridurre il numero di e-mail sospette che raggiungono la propria casella di posta, ricevere alert ma che non sempre possono correggere una infezione:
- prestare attenzione ai documenti allegati che offrono anteprime con testi e immagini che accrescono la curiosità nel voler conoscere il contenuto del documento stesso;
- controllare in MS Word/Excel che l’impostazione “Disabilita tutte le macro con notifica” sia sempre quella predefinita;
- prestare attenzione allo spoofing, diffidando di e-mail da mittenti anche noti e/o contenenti qualsiasi tipo di richieste. Tramite queste tecniche, infatti, è possibile falsificare non solo indirizzi e-mail ma anche account di social network e applicazioni di messaggistica istantanea.
