Un attacco informatico sviluppato dal gruppo russo sfrutta una nuova vulnerabilità insita in Microsoft Office. E questa volta le famigerate Macro non c’entrano nulla.
La sicurezza informatica si guadagna ancora un posto di rilievo fra le notizie degli ultimi giorni. Notizie che, com’è naturale quando si maneggia l’argomento, sono tutt’altro che buone. Fancy Bear, il gruppo di hacker che si presume essere collegato al governo russo, ha lanciato un attacco informatico che sfrutta ancora una volta alcune vulnerabilità presenti su Microsoft Office. Questa volta però, senza ricorrere alle classiche Macro, a lungo considerate la caratteristica più “attaccabile” della suite e in particolare dei documenti Word. Secondo i ricercatori di Trend Micro, il gruppo sarebbe dietro alla diffusione di alcuni documenti Word che utilizzano una caratteristica nota come Dynamic Data Exchange. Tramite l’uso congiunto di PowerShell, l’attacco basato sul DDE è capace di eseguire codice presente su un altro file e inviare update appena nuovi dati sono disponibili. In questo modo è possibile ottenere informazioni sul computer preso come obiettivo, per trasmettergli successivamente malware.
1 Seduploader, il malware-spia
Il documento preso in esame scarica sul computer-target una versione di Seduploader, malware che si occupa di studiare e profilare la vittima, per poi trasmettere le informazioni agli hacker. Se il sistema è d’interesse, procede con l’installazione di altri due malware, molto più pericolosi: X-Agent o Sedreco, in grado di aprire una backdoor diretta e carpire informazioni sensibili.
2 La risposta di Microsoft
Tempo un giorno e Microsoft ha affrontato l’argomento, comunicando ai propri clienti che il modo migliore per proteggersi è negare l’autorizzazione a qualsiasi tipo di messaggio sconosciuto appaia non appena si apre un documento. Per utilizzare il Dynamic Data Exchange, infatti, l’utente deve preapprovarlo. Tramite una serie di finestre di dialogo, l’utente è chiamato ad accettare prima l’attivazione stessa del DDE, e successivamente altre due operazioni mascherate che, se autorizzate, trasferiscono malware sul computer preso di mira. Microsoft ha anche indicato un modo per negare automaticamente l’autorizzazione a qualsiasi operazione che sfrutti il DDE. Detto che l’azienda di Redmond non offre protezione diretta contro questi attacchi, almeno per il momento, chi volesse disabilitare in toto il DDE può andare su Opzioni->Avanzate e rimuovere la spunta “Aggiorna automaticamente i link all’apertura”.
3 SensePost aveva già dato l’allarme
La possibilità di diffondere malware tramite il Dynamic Data Exchange era nota da tempo e parecchi ricercatori avevano già lanciato l’allarme. Giusto un mese fa, un post comparso sul sito dall’azienda di sicurezza informatica SensePost aveva messo in luce la possibilità che Office fosse attaccabile con modalità nuove. Ora che è stato identificato un precedente, è probabile che questo tipo di attacchi diventino sempre più comuni. Sviluppi che rendono necessaria una sempre maggiore consapevolezza da parte degli utenti, chiamati ora più che mai a sospettare di qualsiasi istruzione non familiare che compaia sullo schermo.
4 Fancy Bear, quando la notorietà costringe a variare strategia
Trend Micro, per parte sua, ribadisce la pericolosità di Fancy Bear, mettendo in evidenza la capacità del gruppo di adattarsi rapidamente e variare le proprie strategie d’attacco. Vista l’attenzione ottenuta negli ultimi mesi, soprattutto per via delle presunte ingerenze nella campagna elettorale americana, è normale che il gruppo abbia scelto un veicolo alternativo per bypassare le rinnovate difese.