Quando Microsoft ha limitato tutte le macro predefinite di Excel 4.0 all'inizio del 2022 per impedire agli attori delle minacce di abusare della funzionalità per distribuire malware, molti esperti di sicurezza ritenevano che gli attori delle minacce sarebbero semplicemente passati a un altro verticale di attacco.
Tuttavia, i ricercatori di Netskope sulla sicurezza hanno scoperto che i file Excel armati rimangono molto popolari perché gli utenti utilizzano ancora versioni vecchie e non protette del software e, in quanto tali, sono ancora suscettibili a questo tipo di attacco.
In un post sul blog (si apre in una nuova scheda), Gustavo Palazolo, ingegnere di ricerca sulle minacce dello staff di Netskope, ha spiegato come la società abbia recentemente scoperto "centinaia" di documenti Office dannosi utilizzati per scaricare ed eseguire Emotet.
minaccia unica
Emotet è un Trojan in grado di rubare informazioni e lanciare payload dannosi aggiuntivi sul dispositivo di destinazione.
Dopo aver condotto una ricerca di file simili su VirusTotal, il team ha scoperto 776 fogli di calcolo dannosi, inviati in appena una settimana e mezzo, a giugno. La maggior parte dei file condivide gli stessi URL e alcuni metadati, portando i ricercatori a concludere che è probabilmente il lavoro di un singolo attore di minacce.
In totale, il team ha estratto 18 URL, quattro dei quali erano ancora attivi e fornivano il payload dannoso in quel momento.
I file vengono distribuiti in modo tradizionale: tramite e-mail. La vittima riceverà un'e-mail in cui si afferma di essere un modulo di pagamento per un servizio, fatture o documenti medici o qualsiasi cosa che possa indurre le persone a scaricare e aprire l'allegato se nulla è per curiosità.
Alcuni file erano persino compressi e protetti da password, che potrebbero essere persi dalla protezione della posta elettronica o dai servizi antivirus.
Gli utenti che eseguono il file lo vedranno vuoto ad eccezione di un messaggio che indica che i contenuti del file sono "archiviati" fino a quando non abilitano la modifica, che abilita anche le macro.
Per difendersi meglio da questo tipo di phishing, le aziende sono incoraggiate a formare i propri dipendenti su come individuare il phishing, mantenere aggiornati hardware e software ed eseguire soluzioni antivirus, firewall e servizi di autenticazione a più fattori adeguati.
- Emotet è meno pericoloso se hai una delle migliori soluzioni antivirus in esecuzione