Basta un mousover e il malware fa danno: nuova minaccia per PowerPoint

Basta un mousover e il malware fa danno: nuova minaccia per PowerPoint

Una nuova minaccia colpisce gli utenti di PowerPoint: basta passare il puntatore del mouse, senza cliccare, su un link per attivare il malware che installa una backdoor per frodi bancarie

di pubblicata il , alle 12:21 nel canale Sicurezza
Trend Micro
 

I ricercatori di sicurezza di Trend Micro hanno individuato un nuovo attacco malware che colpisce l'utente quando questi passa il puntatore del mouse sopra un link inserito in un file PowerPoint opportunamente modificato, anche senza effettuare nessun click. Si tratta di un metodo che è stato usato in una campagna di spam con il tentativo di installare una backdoor specializzata in frodi bancarie conosciuta con i nomi di Zusy, OTLARD o Gootkit.

La pericolosità del malware è significativa poiché non si basa su macro, script di Visual Basic o JavaScript che sono di norma ampiamente utilizzati e portano spesso al riconoscimento della minaccia prima che possa fare danni. La tecnica fa invece uso dello strumento Windows PowerShell, che viene invocata quando il bersaglio fa passare il puntatore del mouse su un collegamento ipertestuale all'interno di un documento PowerPoint.


Fonte: TrendMicro

La modalità Protected View, presente nelle versioni più recenti di Microsoft Office, può offrire all'utente un primo avvertimento. Tuttavia si tratta di una contromisura la cui efficacia può essere particolarmente bassa poiché l'utente può essere indotto a disattivare la modalità (che ad esempio non opera quando i documenti vengono stampati o modificati) oppure, come nel caso di utenti con meno esperienza, un superficiale clic su "Abilita" abbatte anche questa ultima possibile barriera all'infezione. La modalità Protected View, inoltre, non è disponibile nelle vecchie versioni di Office.

Come accennato poco sopra, questa nuova minaccia è stata usata in una campagna di spam avviata verso la fine del mese di maggio. Le campagne di spam con allegati dannosi spesso colpiscono con una potenza di fuoco di decine di milioni di messaggi in poche ore.

I messaggi inviati sono caratterizzati da oggetti quali "Purchase Order", "Invoice" e "Confirmation" e includono ovviamente un file PowerPoint chiamato in vari modi. Il picco della campagna è stato riscontrato il 25 maggio con 1444 rilevazioni. Attualmente non è chiaro quale possa essere il tasso di efficacia di questa tecnica, ma anche un tasso dello 0,5% potrebbe rappresentare una minaccia rilevante per le aziende ed i privati di tutto il mondo, in particolare coloro i quali fanno uso di vecchie versioni di Office.

Sul blog ufficiale di Trend Micro è possibile trovare un'analisi tecnica dettagliata della minaccia, a questo indirizzo.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
zappy12 Giugno 2017, 12:32 #1
dall'articolo non si capisce un tubo...
turcone12 Giugno 2017, 13:10 #2
articolo un pò inutile dato che di default quei collegamenti sono bloccati
mattia.l12 Giugno 2017, 14:31 #3
nello screen si vedono windows 7 con ie8 (pazzia ) ed office 2007
ora o questo articolo doveva essere pubblicato nel 2008 oppure fateci sapere se le ultime versioni ne soffrono
djmatrix61912 Giugno 2017, 15:45 #4
Carissimo Andrea.. io non passerei troppo tempo con Rosario e Nino.

Lo dico per te.

Comunque si dice "MOUSEOVER" non "mousover".. (per la cronaca..)
Beppe900012 Giugno 2017, 16:48 #5
Originariamente inviato da: djmatrix619
Carissimo Andrea.. io non passerei troppo tempo con Rosario e Nino.

Lo dico per te.

Comunque si dice "MOUSEOVER" non "mousover".. (per la cronaca..)


il trash incombe su questa testata

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^