[banner]…[/banner]
È stato individuato un malware distribuito in documenti Word con macro. Niente di particolarmente pericoloso ma la peculiarità è che i creatori hanno previsto il comportamento da adottare in base al sistema operativo sul quale gira l’applicazione di Microsoft. Il malware, individuato in un file .DOC (Word) da FortiGuard Labs, integra una macro in Visual Basic for Applications (VBA) che Word cerca di aprire automaticamente all’apertura del file. Se l’utente ha disabilitato l’attivazione automatica delle macro in Office, all’interno del documento è mostrata un’immagine che cerca di convincere l’utente a scaricare il documento con le macro abilitate.
Eseguendo la macro, spiega Appleinsider, viene letto, decodificato ed eseguito un codice memorizzato con codifica Base64 (una tecnica di conversione dei dati basata su 64 simboli del formato ASCII). Il codice è uno script python che cerca di identificare il sistema operativo sul quale sta girando, esegue due diverse funzioni in base al sistema host individuato: macOS o Windows.
I ricercatori Xiaopeng Xhang e Chris Navarrete spiegano che il codice VBA è una versione leggermente modificata di un esistente framework denominato Metasploit, uno strumento di exploiting open source che può essere usato per creare malware e altri strumenti che consentono di attaccare i sistemi, ma usato altresì anche come strumento di sicurezza per scopi benefici.
Se il sistema operativo individuato è macOS, viene eseguito un secondo script python estratto da una stringa codificata in base64, scaricando ed eseguendo un file da uno specifico URL. Il “meterpreter” del file scaricato è un altro script python modificato a partire dal framework Metasploit: sfrutta un meccanismo di payload dinamicamente estensibile in grado di eseguire comandi inviati da un server.
Nel caso la macro venga eseguita su Word per Windows, viene richiamata una funzione simile eseguendo nella PowerShell un codice codificato in base-64 che a sua volta decomprime e avvia un altro script PowerShell. Viene a questo punto scaricata una DLL a 64 bit, sfruttata per comunicare con un server, in attesa di istruzioni.
Non è la prima volta che circolano malware nascosti in macro di documenti Word; è forse però la prima volta che questo genere di malware tiene conto sia di Windows, sia di macOS. Come abbiamo spiegato altre volte per evitare che il sistema venga “contaminato” da macro contenenti malware, per impostazione predefinita in Office per Mac viene visualizzato un messaggio di avviso ogni volta che si tenta di aprire un documento contenente una macro. Il messaggio viene visualizzato anche se la macro in realtà non contiene alcun virus. È possibile disattivare il messaggio di avviso ma, in questo caso, sarà necessario verificare l’attendibilità dell’origine di ogni documento prima di aprirlo.
