Pillole di #Malware #Analysis
I #Macro malware
Il formato file più utilizzato per la diffusione del malware è sicuramente il formato office, ovvero .docx .xlsx .pptx etc…
Un report di #Verizon ci dice che il metodo di delivery del malware utilizzato nel 98% delle volte è una email, che nel 45% dei casi contiene un file office.
Questi file contengono le famigerate Macro, ovvero script che #Microsoft ha creato per automatizzare le operazioni su questi prodotti ma che vengono utilizzati in maniera illecita per infettare il pc della vittima.
Queste macro si avvalgono nella maggioranza dei casi di una #Powershell di #Windows che esegue codice criptato, e nella mia esperienza la codifica più utilizzata è la #Base64.
Powershell si presta così bene perché è talmente potente da poter eseguire la stessa azione modificando l’ordine dei parametri, modificandone la capitalizzazione delle lettere e persino il nome del parametro stesso.
Questi script sono spesso lunghissimi, oltre i 500 caratteri, e contengono una molteplicità di funzioni innestate che forniscono un parametro essenziale per la funzione di più alto livello.
Il codice che vedete dentro la bandiera del logo di questo gruppo appartiene proprio a questa categoria.
Se vi interessa questo tipo di analisi potete trovare un video sul canale youtube di #CybersecurityUP.
Una lettura estremamente interessate è "The increased use of Powershell Attacks" di Symantec

Tweet