Il malware VBA è tuttora in circolazione

Secondo una ricerca recentemente condotta da Sophos, negli oscuri meandri del Dark Web risultano disponibili centinaia di template di malware provvisti di codice VBA nocivo, che i malintenzionati possono liberamente scaricare ed inserire all’interno di file .doc o .docx, in seguito distribuiti in massa attraverso mailing di spam dannoso. Nel corso di questi ultimi mesi, i ricercatori di Sophos hanno in media scoperto, ogni giorno, dai 50 ai 100 nuovi sample di tale software malevolo, in grado di attaccare gli utenti di Word con funzione macro attiva (in Microsoft Office le macro sono disattivate per impostazione predefinita).

Il massiccio aumento del numero di programmi malware scritti in VBA (Visual Basic for Applications) è stato ugualmente rilevato, nell’anno in corso, da altri esperti. Le osservazioni effettuate da Sophos confermano come, nella maggior parte dei casi, la macro malevola agisca in veste di downloader, aiutando quindi gli attacker a distribuire insidiosi Trojan-Banker (Dridex, Dyreza, ZeuS) o temibili ransomware (CryptoWall) sui computer-vittima.

Di tanto in tanto i cybercriminali, secondo quanto riferisce Sophos, sperimentano anche altri formati – XML, MHTML, RTF e persino PDF. Per proteggere il codice VBA nei confronti di possibili analisi, essi fanno ricorso a vari metodi di offuscamento, quali scrambling, codifica Base64 od operazioni XOR; in alternativa, i malintenzionati utilizzano semplicemente offuscatori di tipo “commerciale”, come CrunchCode. Allo stesso tempo, gli attacker sembrano non preoccuparsi troppo della velocità di esecuzione; nel tentativo di proteggere le loro “creature” dal rilevamento, essi hanno iniziato a rendere il codice più complesso, aggiungendo operazioni superflue e chiamate di funzioni di sistema “esotiche”, oppure prolungando oltre misura i cicli di esecuzione delle funzioni stesse.

Per evitare possibili infezioni, gli esperti raccomandano agli utenti di ignorare la richiesta relativa all’attivazione delle macro nei documenti ricevuti da fonti inaspettate o sconosciute, così come di provvedere a bloccare i file Office, contenenti macro, inviati agli indirizzi e-mail aziendali da parte di fonti esterne.

Fonte: Softpedia

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *