È il caso di nuova campagna multi-malware che ha come mezzo di diffusione dei comunissimi file excel diffusi tramite mail che una volta aperti vi infetteranno con i malware: Agent Tesla, Lokibot e Formbook.

Fino a qui è notizia vecchia! Cosa cambia questa volta?

Cambia che i file infetti diffusi tramite le e-mail di phishing spesso sono crittati e protetti da password come forma di “AntiVirus Evasion” non vengono quindi rilevati e richiedono una password per essere aperti.

Allora non c’è nessun problema vero? Io dimentico anche le mie di password figuriamoci se conosco quella del malware!

Questa volta non è necessario conoscere la password (anche se è sicuramente contenuta nel corpo della mail), poiché è quella di default ed è inserita direttamente nel codice di excel! In breve, se la password è “VelvetSweatshop” il documento viene decrittato in automatico.

Come faccio a difendermi?

Hai presente quella barra gialla in alto quando apri un file con office che non ti consente la modifica? Bene quella è un ulteriore linea di difesa, oltre all’antivirus, che impedisce l’esecuzione dei Macro Malware , ricorda che è buona norma consentire il minimo dei permessi, quindi se devi solo leggere, non abilitare mai la modifica a meno che non sei assolutamente sicuro della provenienza del file.

Questa è una tecnica molto avanzata di occultamento già nota da tempo ma mai patchata. 

Non avanzatissima, dal punto di vista dell’implementazione, ma dall’efficacia con cui è possibile portare a termine la fase di delivery del payload. Molte delle tecniche di phishing, falliscono perché la fase di ottenimento della fiducia della vittima, da parte dell’attore malevolo, fallisce quando il payload ha un comportamento insolito come la richiesta di inserimento di una password in un file excel.

Vuoi guardare nell’intimo di questi processi? Ti interessa capire come è possibile radicarsi all’intero di un file così innocuo? Allora il corso di Reverse engineering farà sicuramente al caso tuo

Tweet