Una nuova minaccia si affaccia sull’orizzonte degli utilizzatori di Microsoft Office.

La minaccia da macrovirus in ambiente Microsoft Office è ormai endemica, ma non smettono di stupire le forme sempre nuove di occultamento di questa minaccia che riescono a veicolare il vettore di attacco in casa dei malcapitati. Il metodo è sempre lo stesso: ingegneria sociale per recapitare il “pacco regalo” attraverso la posta elettronica.

Naturalmente tutto questo è noto agli strumenti ed analisti di difesa che da anni osservano il traffico di rete dei loro perimetri alla ricerca delle forme note di questa minaccia.

I formati Microsoft Office nel tempo sono mutati, ma la necessità di eseguire macro per l’automazione delle operazioni d’ufficio è rimasta coerente, pertanto è normale veder circolare, e dunque è necessario vigilare su, vecchi e nuovi formati che presuppongono l’inclusione di tali operazioni automatiche.

È dunque evidente come la questione si sia spostata ora sulle forme di occultamento più che sulla tecnologia si, tecnologia no. Tipicamente le forme di occultamento per questa minaccia erano legate alle forme del malware stesso. Ora una nuova minaccia incombe: un nuovo formato file si è dimostrato capace di veicolare la minaccia fino in casa, in barba a certa euristica e casi d’uso che prevedevano il diffondersi di tale minacce con i più canonici formati .doc, .xlts, ecc.

L’inatteso arriva da un formato semisconosciuto di PowerPoint, il file .ppam, utilizzato per creare moduli aggiuntivi per il VBA: si tratta di un file che può essere tranquillamente generato a partire da un comune (o almeno più conosciuto) .pptm (il formato con macro delle ultime versioni di PowerPoint) e consente di realizzare delle vere e proprie “librerie condivise” di codice per macro da includere in altri documenti e processi aziendali.

Una società di Check Point (Avanan) ha lanciato l’allarme su questo formato constatando un incremento nell’uso di questo per veicolare attacchi su vettore email. La novità del formato rende difficile l’identificazione, e gli effetti potenziali appaiono drammaticamente inquietanti, vista l’osservazione di azioni di rilievo riuscite sulla macchina dell’utenza finale (pur senza autorizzazione dell’utente), inclusa installazione di nuovi programmi, creazione processi, modifica di attributi dei file, e altro.

Il formato risulta pericoloso inoltre per la capacità di assolvere al trasporto per qualsivoglia tipologia di malware, inclusa quella di tipo ransomware, come già osservato da alcuni analisti.

Strategia e vittime non sono dunque cambiate, ma cambiano comunque le forme della minaccia. Per mitigarne il rischio le soluzioni sono ancora le stesse: policy di sicurezza per la ricezione email (SPF, ecc), sistemi di sandbox per verificare il comportamento dinamico degli allegati, e tutto il restante arsenale che sempre deve essere posto a difesa davanti all’utente.

Ma cosa più importante di tutti, è creare l’opportuno livello di consapevolezza sulla sicurezza informatica, quell’approccio più vicino possibile al modello a zero fiducia che caratterizza l’unica possibile difesa dalle forme di occultamento che sempre troveranno modo di ingannarci.

Tweet