Attacchi in Italia con finti documenti Office ed Excel

Mag 03, 2022 Redazione news Attacchi, News, RSS 0

Yoroi ha scoperto una serie di attacchi che stanno infettando le aziende manifatturiere italiane con finti documenti Microsoft Office ed Excel attraverso la botnet Dridex

Come sottolinea Yoroi, i documenti Microsoft Office ed Excel sono gli strumenti di diffusione preferiti da molti criminali informatici per inoculare malware nelle aziende.

Si tratta infatti di una tecnica estremamente flessibile e abusata sia da attori opportunisti che dalle APT, le Minacce Avanzate Persistenti che fanno capo a gruppi criminali ben finanziati e organizzati, spesso supportati da governi.

Negli ultimi mesi il Malware ZLAB di Yoroi (gruppo Tinexta) ha monitorato con particolare attenzione ondate di attacchi che adottano una nuova tecnica: librerie binarie caricate direttamente da Microsoft Excel, in un solo click. Per farlo sfruttano i file XLL, un particolare tipo di file contenente un’applicazione Microsoft Excel pronta per essere caricata.

Questo metodo di sfruttamento di Microsoft Office viene usato in tutto il mondo e recentemente è stato sfruttato per colpire le aziende manifatturiere italiane. I criminali informatici stanno utilizzando massicciamente queste particolari applicazioni Excel XLL perché rendono inefficaci i motori di scansione antivirus per i documenti ricevuti nelle caselle di posta aziendali.

I file XLL non sono infatti documenti Office, ma librerie eseguibili che possono essere utilizzate dai cybercriminali per iniettare malware in grado di rubare le credenziali salvate nel browser e per accedere remotamente al computer.

Il CERT di Yoroi sta monitorando la nuova tecnica dall’estate del 2021. Già osservata originariamente in attacchi sporadici, nell’ultimo mese è stata sfruttata anche ai danni di realtà italiane.

La campagna di malspam, cioè un invio massiccio di email per infettare le vittime, che veicola il file dannoso camuffato da documento Excel, utilizza le infrastrutture della piattaforma statunitense per chiamate vocali e messaggistica istantanea Discord.

Il codice malevolo in questo caso è particolarmente pericoloso in quanto è associato a tecniche di evasione che ne rendono difficile l’individuazione anche con VirusTotal, la piattaforma di Google per l’analisi dei file potenzialmente infetti.

In questo momento almeno due campagne d’attacco che lo utilizzano hanno l’Italia come bersaglio. La pericolosa tecnica risulta attualmente utilizzata dalla botnet Dridex nel corso di attacchi su larga scala, indice di una potenziale esplosione di questa tecnica di attacco nel corso dei prossimi mesi del 2022.

Dridex è uno dei malware bancari più pericolosi e resistenti al mondo. Dal 2010 sfrutta le macro di Word e Excel e la sua botnet, cioè la rete di computer zombie che utilizza per diffondere il suo carico malevolo, è tra le più estese tra quelle conosciute.

Gli attacchi provenienti da questa botnet possono portare a una infezione ransomware di tipo double-extortion come è già accaduto in aprile ai danni di molti comuni italiani del Nord-Ovest.

Secondo i coordinatori dello Zlab di Yoroi: “Le aziende oggetto di questa campagna in Italia sono una decina nel settore manifatturiero e l’attenzione va tenuta alta.

La campagna è particolarmente pericolosa perché inganna i sistemi di difesa tradizionali e il suo livello di sofisticazione suggerisce che gli attaccanti, di provenienza russa e asiatica, si stanno organizzando per affinare i loro attacchi via email”. Potete trovare l’analisi completa in inglese a questo collegamento.

Condividi l'articolo