Gli esperti di Yoroi hanno scoperto una serie di attacchi che stanno infettando le aziende manifatturiere italiane con finti documenti Microsoft Office ed Excel attraverso la botnet Dridex.
Come sottolinea Yoroi, si tratta di una tecnica estremamente flessibile e abusata sia da attori opportunisti che dalle APT, le Minacce Avanzate Persistenti che fanno capo a gruppi criminali ben finanziati e organizzati, in quanto i documenti Microsoft Office ed Excel sono strumenti di diffusione preferiti per veicolare malware nelle aziende.
Questa nuova ondata di attacchi monitorata negli ultimi mesi da Malware ZLAB di Yoroi (gruppo Tinexta), utilizza librerie binarie caricate direttamente da Microsoft Excel, in un solo click, sfruttando i file XLL, un tipo di file contenente un’applicazione Microsoft Excel pronta per essere caricata, per iniettare malware al fine di rubare le credenziali salvate nel browser e per accedere da remoto al computer della vittima.
Gli aggressori stanno utilizzando massicciamente queste particolari applicazioni Excel XLL in quanto rendono inefficaci i motori di scansione antivirus per i documenti ricevuti nelle caselle di posta aziendali. I file XLL non sono infatti documenti Office, bensì librerie eseguibili.
Recentemente, questa nuova tecnica di sfruttamento di Microsoft Office, monitorata dal CERT di Yoroi già dall’estate 2021, è stata sfruttata per colpire le aziende manifatturiere italiane.
La campagna di malspam che veicola il file dannoso travestito da documento Excel, utilizza le infrastrutture della piattaforma statunitense per chiamate vocali e messaggistica istantanea Discord. Il codice malevolo è particolarmente pericoloso poiché è associato a tecniche di evasione che ne rendono difficile l’individuazione anche con VirusTotal.
In questo momento almeno due campagne d’attacco che lo utilizzano sono in corso ai danni di realtà aziendali in Italia e la pericolosa tecnica è attualmente utilizzata dalla botnet Dridex (uno dei malware bancari più pericolosi e resistenti a livello mondiale) nel corso di attacchi su larga scala.
“Le aziende oggetto di questa campagna in Italia sono una decina nel settore manifatturiero e l’attenzione va tenuta alta. La campagna è particolarmente pericolosa perché inganna i sistemi di difesa tradizionali e il suo livello di sofisticazione suggerisce che gli attaccanti, di provenienza russa e asiatica, si stanno organizzando per affinare i loro attacchi via email”, hanno comunicato i coordinatori dello Zlab di Yoroi.
https://www.securityinfo.it/2022/05/03/attacchi-in-italia-con-finti-documenti-office-ed-excel/