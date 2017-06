I ricercatori di sicurezza di Trend Micro hanno individuato un nuovo attacco malware che colpisce l'utente quando questi passa il puntatore del mouse sopra un link inserito in un file PowerPoint opportunamente modificato, anche senza effettuare nessun click. Si tratta di un metodo che è stato usato in una campagna di spam con il tentativo di installare una backdoor specializzata in frodi bancarie conosciuta con i nomi di Zusy, OTLARD o Gootkit.

La pericolosità del malware è significativa poiché non si basa su macro, script di Visual Basic o JavaScript che sono di norma ampiamente utilizzati e portano spesso al riconoscimento della minaccia prima che possa fare danni. La tecnica fa invece uso dello strumento Windows PowerShell, che viene invocata quando il bersaglio fa passare il puntatore del mouse su un collegamento ipertestuale all'interno di un documento PowerPoint.



Fonte: TrendMicro

La modalità Protected View, presente nelle versioni più recenti di Microsoft Office, può offrire all'utente un primo avvertimento. Tuttavia si tratta di una contromisura la cui efficacia può essere particolarmente bassa poiché l'utente può essere indotto a disattivare la modalità (che ad esempio non opera quando i documenti vengono stampati o modificati) oppure, come nel caso di utenti con meno esperienza, un superficiale clic su "Abilita" abbatte anche questa ultima possibile barriera all'infezione. La modalità Protected View, inoltre, non è disponibile nelle vecchie versioni di Office.

Come accennato poco sopra, questa nuova minaccia è stata usata in una campagna di spam avviata verso la fine del mese di maggio. Le campagne di spam con allegati dannosi spesso colpiscono con una potenza di fuoco di decine di milioni di messaggi in poche ore.

I messaggi inviati sono caratterizzati da oggetti quali "Purchase Order", "Invoice" e "Confirmation" e includono ovviamente un file PowerPoint chiamato in vari modi. Il picco della campagna è stato riscontrato il 25 maggio con 1444 rilevazioni. Attualmente non è chiaro quale possa essere il tasso di efficacia di questa tecnica, ma anche un tasso dello 0,5% potrebbe rappresentare una minaccia rilevante per le aziende ed i privati di tutto il mondo, in particolare coloro i quali fanno uso di vecchie versioni di Office.

Sul blog ufficiale di Trend Micro è possibile trovare un'analisi tecnica dettagliata della minaccia, a questo indirizzo.