La società di sicurezza Libraesva lancia l’allarme su un nuovo trend di attacchi informatici innescati nei pc degli utenti dall’attivazione delle macro di Excel.
Le macro XML presenti in tutti gli Excel consentono di scrivere codice immettendo istruzioni direttamente nelle celle come le normali formule. Gli esperti hanno osservato come tra queste macro-formule alcune consentono l’esecuzione di codice dannoso per veicolare un dropper capace di accogliere varie forme di malware, come trojan anche bancari e virus; denominate EXEC, RUN e CALL, nell’aprile 2020, è circolata un’ondata di malware che abusava di queste chiamate, mentre a maggio gli esperti hanno visto una nuova ondata che apparentemente abusava ancora delle macro XLM ma senza chiamare EXEC, RUN o CALL.
«Alcuni di questi file stavano usando trucchi aggiuntivi per confondere l’analisi, come mettere le macro in fogli “nascosti”. Alcuni hanno usato fogli “molto nascosti”, altri sono stati protetti con la password “VelvetSweatshop” (che è un trucco usato da Microsoft per definire documenti di sola lettura). C’è anche una grande variabilità nei nomi dei file e nelle campagne e-mail».
Una volta che l’utente attiva il prompt “ATTIVA MACRO”, il codice malevolo crea una formula raccogliendo dati da molte celle diverse e facendo alcune trasformazioni nella scrittura del codice di difficile identificazione. Quindi applica la formula utilizzando la dichiarazione FORMULA.FILL.
Il fenomeno di attacco tramite Excel ha iniziato a presentarsi a inizio maggio e continua a manifestarsi da allora senza sosta. Gli esperti di sicurezza negli EsvaLabs hanno osservato il suo mutamento nelle modalità di attacco tra aprile e maggio: inizialmente gli hacker mostravano preferenza di inserimento nei dropper di codice più facilmente riconoscibile da parte dei filtri antivirus. A maggio, i contenuti di questi “cavalli di troia” si presentano invece portatori di forme di attacco sempre nuove e diversificate.
Tenendo in considerazione che il codice malevolo viene innescato proprio dall’utente nel momento in cui consente l’attivazione delle Macro in Excel, si può comprendere perché addirittura i più diffusi filtri di sicurezza non riescano a rilevare immediatamente la potenziale minaccia, facendo passare e arrivare quindi le email che la contengono fino alla casella di posta elettronica dell’utente finale.
https://www.libraesva.com/new-wave-of-excel-4-0-malware-campaigns-abusing-formula-macro-function/
