L’uso delle macro in Excel e Word per diffondere malware non è una novità. Questa tipologia di malware sfrutta la possibilità offerta da Office di automatizzare una serie di comandi, chiedendo all’utente il permesso di eseguire le istruzioni contenute all’interno di un documento. All’interno dei documenti Office con macro possono essere celate anche istruzioni pericolose ed è per questo che, per impostazione predefinita, Word ed Excel visualizzando un messaggio di avviso ogni volta che si tenta di aprire un documento contenente una macro (il messaggio viene visualizzato anche se la macro in realtà non contiene alcun malware).
Un malware specifico per Mac che sfrutta le macro di Microsoft Word è stato individuato in un documento intitolato “U.S. Allies and Rivals Digest Trump’s Victory – Carnegie Endowment for International Peace”. All’apertura del file, Word chiede se attivare o no le macro contenute; se l’utente attiva le macro, il malware si assicura che firewall LittleSnitch sia disattivato, scarica un payload cifrato (un runtime che estende le funzioni base del malware), lo decifra e lo esegue. Il codice all’interno della macro è scritto in Python ed è in pratica una copia di EmPyre, un framework specifico per l’exploit del Mac (un insieme di programmi in grado di sfruttare una o più vulnerabilità di un software presente su computer locale o in remoto).
I ricercatori che hanno individuato il malware spiegano che il sito che inviava al documento-trappola il payload ora non è attivo e non è al momento capire come agiva una volta colpita la vittima. Nel framework EmPyre sono ad ogni modo presenti strumenti che consentono di monitorare webcam, rubare password, decifrare elementi nel Portachiavi, accedere alla cronologia del browser.
Con Word o Excel è potenzialmente possibile creare macro-virus molto pericolosi. Nel 2015 è stato un macro virus la causa di un blackout in metà case nella città ucraina di Ivano-Frankivsk. L’attacco, portato a termine con inviando un file Excel, ha causato il blackout di tre impianti elettrici e lasciando al buio centinaia di migliaia di persone. La stessa tipologia di malware è stata collegata alle azioni di sabotaggio di un gruppo che ha preso di mira agenzie governative, infrastrutture della Nato e altri importanti centri europei e statunitensi.