A volte ritornano: circolano documenti Word con un malware “dentro”

documenti Word

Documenti word con una macro per infettare il computer-bersaglio, in questo caso i Mac? Sembra tanto una cosa anni Novanta e invece è un (piccolo) allarme per la sicurezza di macOS che si è diffuso in rete in questi giorni. Non dovrebbe rappresentare un rischio per gli utenti italiani perché si tratta di un documento in inglese, motivo per cui è difficile che chi lo riceve lo apra senza un minimo di perplessità per averlo ricevuto. Però l’argomento è di quelli "caldi" (l’elezione di Trump) e quindi… non si sa mai.

Del metodo usato dal macro-virus per infettare il Mac del malcapitato utente che dovesse aprire il file Word in questione è stata fatta una ampia trattazione. Sintetizzando, chi fa doppio clic sul documento e lo autorizza a usare le sue macro (cosa che chi usa documenti Word non dovrebbe mai fare), lo autorizza anche a decodificare e a eseguire uno script Python.

Il tentativo di installazione del vero malware rilevato da BlockBlock
Il tentativo di installazione del vero malware rilevato da BlockBlock

Questo verifica che l’utility Little Snitch non sia attiva e in tal caso (altrimenti essa rivelerebbe un collegamento in rete sospetto) scarica un secondo eseguibile che installa il malware propriamente detto in macOS, in modo che si lanci poi automaticamente e in maniera “silenziosa”. Il malware in questione è in effetti già noto e può eseguire (o provare a farlo) una serie di azioni sgradite come attivare la webcam, copiare il Portachiavi o esaminare la Cronologia dei browser.

Il tentativo di infezione via documenti Word con macro pericolose è storia vecchia ma, a quanto pare, cerca di ripetersi. La difesa è banale - non eseguire le macro nei documenti - e per questo non si tratta di un attacco veramente pericoloso. Gli autori tra l’altro hanno usato codice già noto per altri malware, il che dovrebbe rendere più semplice identificare anche questo con i vari anti-malware disponibili sul mercato.

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here