Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI TECNICA

Documenti RTF col trojan dentro, ecco come difendersi dalla nuova ondata di malspam

Un nuovo malspam sta diffondendo documenti RTF contenenti un pericoloso trojan che potrebbe consentire ai criminal hacker di prendere il controllo di un PC per compiere attacchi mirati, attività di spionaggio economico e per rubare informazioni riservate. Ecco tutti i dettagli e i consigli per difendersi

14 Giu 2019

Paolo Tarsitano


Una nuova ondata di malspam sta diffondendo, in tutta Europa, documenti Office in formato RTF contenenti un generico trojan backdoor che consente ai criminal hacker l’accesso diretto alle macchine infette.

La nuova attività criminale, segnalata dai laboratori di ricerca Microsoft su Twitter e ripresa dal CERT-PA che riporta anche gli indici di compromissione (IoC), sfrutta una vecchia vulnerabilità del 2017 (identificata come CVE-2017-11882) nel modulo Equation Editor della suite Office che molti utenti e organizzazioni private ancora non hanno corretto.

Documenti RTF col trojan dentro: l’analisi tecnica

Dalle analisi effettuate si è scoperto che i messaggi di spam che hanno in allegato i documenti RTF col trojan dentro sono realizzati in varie lingue e ciò lascerebbe supporre l’intento dei criminal hacker di colpire in differenti paesi europei.

Nel momento in cui gli utenti aprono i documenti RTF su versioni di Office vulnerabili, una macro nascosta al loro interno scarica ed esegue alcuni script in formato VBScript, PowerShell, PHP e altri. Lo scopo è quello di recuperare, da server remoti, il codice malevolo del payload necessario ad avviare la catena infettiva vera e propria mediante un trojan backdoor non ancora identificato.

C’è da dire, però, che in seguito alla segnalazione della campagna di malspam da parte di Microsoft il server di comando e controllo del trojan sembra non essere più attivo. Ciò non significa, ovviamente, che la minaccia è stata sventata: più probabilmente, i criminal hacker stanno riorganizzando la loro struttura malevola per avviare nuove campagne di malspam e sfruttare la stessa dinamica per diffondere una nuova versione del trojan backdoor.

Rappresentazione grafica dell’attacco effettuato sfruttando un documento RTF contenente il codice dannoso.

Vecchie vulnerabilità, nuovi attacchi

La vulnerabilità presente nell’Equation Editor fu scoperta per la prima volta nel 2017 dai ricercatori di sicurezza di Embedi. Per sfruttare il bug in questo vecchio componente Office, i criminal hacker usarono dei documenti di testo realizzati con WordPad contenenti uno speciale exploit che permetteva, senza richiedere alcuna interazione da parte dell’utente, di eseguire codice arbitrario sui computer delle vittime.

Microsoft rilasciò un primo aggiornamento a novembre 2017. Successivamente, anche se la notizia non è mai stata ufficialmente confermata, i criminal hacker sarebbero riusciti a rubare il codice sorgente del componente della suite Office e contestualmente fu scoperto un secondo bug. In seguito a questi eventi, nel 2018 Microsoft rimosse, tramite aggiornamento, il famigerato Equation Editor dalle versioni Word a partire da Office 2007.

Peccato, però, che siano ancora numerosi gli utenti che continuano ad utilizzare le vecchie versioni della suite per ufficio Microsoft senza effettuare i necessari aggiornamenti di sicurezza. È questo il motivo per cui nel terzo trimestre del 2018 si è assistito ad un notevole incremento di attacchi informatici che sfruttano le vulnerabilità delle applicazioni della suite Office.

Infografica ripresa dal CERT-PA che conferma il notevole incremento nel terzo trimestre 2018 di cyber attacchi che hanno preso di mira le applicazioni della suite Microsoft Office.

Secondo quanto riferisce il CERT-PA, sono numerosi i malware che finora hanno sfruttato questo exploit che si è rivelato molto pericoloso in quanto, a differenza di altri disponibili per la suite Office che richiedono l’abilitazione di macro o utilizzano funzionalità di sicurezza tramite popup, non richiede alcuna interazione da parte dell’utente.

Sembrerebbe, inoltre, che l’exploit è stato utilizzato anche per compiere attacchi mirati, attività di spionaggio economico e per il furto di informazioni e dati riservati di grandi organizzazioni.

I consigli per proteggersi dai documenti RTF col trojan dentro

Per immunizzare i computer aziendali da questa nuova campagna di malspam, gli amministratori di sistema devono immediatamente distribuire e installare l’aggiornamento per la vulnerabilità associata al bollettino di sicurezza CVE-2017-11882.

Qualora ciò non fosse possibile, è opportuno disabilitare l’Equation Editor. Per farlo, è sufficiente eseguire una semplice procedura manuale che richiede di mettere mano al registro di configurazione di sistema. È quindi opportuno eseguirla con la massima attenzione e solo se si è certi di quello che si sta facendo: se si utilizza l’Editor del registro di configurazione in modo errato, infatti, si potrebbero causare seri problemi di instabilità del sistema che potrebbero richiedere la reinstallazione di Windows.

Innanzitutto, aggiorniamo la seguente chiave di registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}]

cambiando il valore DWORD:

“Compatibility Flags”=dword:00000400

Quindi, cancelliamo queste due sottochiavi:

[HKEY_CLASSES_ROOT\CLSID\{0002CE02-0000-0000-C000-000000000046}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Equation.3]

Se usiamo la versione a 32 bit della suite Office 2007 o successiva su sistemi Windows a 64 bit, la procedura è leggermente diversa.

Individuiamo la chiave:

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}]

e aggiorniamola cambiando il valore DWORD:

“Compatibility Flags”=dword:00000400

Quindi, eliminiamo le seguenti due sottochiavi:

[HKEY_CLASSES_ROOT\WOW6432Node\CLSID\{0002CE02-0000-0000-C000-000000000046}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Equation.3]

Tutti i dettagli tecnici della procedura sono riportati nella guida dedicata all’Equation Editor presente nella Knowledge Base Microsoft.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5