Nonostante Microsoft abbia introdotto importanti misure di sicurezza per evitare l’abuso delle macro nei documenti Office, come a esempio il blocco di default nei file scaricati da Internet tramite il “Mark of the Web“, l’uso di questa tecnologia rimane ancora oggi uno strumento efficace per gli attaccanti.

Sebbene non siano più sfruttate come in passato, le macro rimangono sempre una minaccia concreta, favorita dalla diffusione capillare di MS Office – spesso in versioni obsolete o non aggiornate – e, soprattutto, dalla possibilità di sfruttare l’errore umano.

Molto recentemente il CERT-AGID ha individuato ed analizzato una campagna particolarmente curata volta a diffondere il malware Formbook tramite email mirate, indirizzate probabilmente a potenziali clienti di una grande azienda italiana del settore energetico.

L’allegato è un file PDF utilizzato per avviare la campagna, riporta il logo ufficiale dell’azienda e contiene due link che promettono il download di presunti documenti di progetto, protetti da password e ospitati su piattaforme di file sharing.

Una volta scaricato e scompattato l’archivio ZIP, protetto con password come indicato nel PDF, si hanno a disposizione vari documenti di MS Office. Alcuni di questi sono innocui mentre altri, sia in formato DOC che XLSB, risultano dotati di macro.

L’analisi del codice evidenzia una catena ben orchestrata, che conduce passo dopo passo all’installazione del malware Formbook, attraverso il download e l’esecuzione di componenti malevoli provenienti da:

• domini registrati di recente, con nomi simili a quelli della società impersonata;
• domini italiani compromessi, verosimilmente legittimi e riconducibili ad altre aziende operanti nello stesso settore.

Una campagna tecnicamente semplice ma credibile e ben orchestrata, che fa leva su dinamiche tipiche del contesto aziendale, come gare d’appalto, progetti riservati o inviti a partecipare a iniziative commerciali. Proprio questa aderenza al reale contribuisce ad abbassare le difese dell’utente, aumentando le probabilità di apertura dei documenti e il rischio che venga eseguito il loro contenuto malevolo. In scenari del genere, non è la complessità tecnica a fare la differenza, ma la capacità di integrarsi nelle aspettative operative di chi riceve il messaggio.

Indicatori di Compromissione

Al fine di rendere pubblici i dettagli della campagna, di seguito vengono riportati gli Indicatori di Compromissione (IoC) rilevati, già condivisi con le organizzazioni pubbliche accreditate al Flusso IoC del CERT-AGID.:

Link: Download IoC