Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Scoperto nuovo metodo per diffondere malware mediante file PowerPoint

microsoft office  PowerPoint  PowerShell  Zusy   mercoledì, 7 giugno 2017

Gli esperti di sicurezza della società SentinelOne hanno individuato una nuova variante del trojan bancario Zusy (noto anche come Tinba o TinyBanker) distribuita in-the-wild mediante file PowerPoint allegati a messaggi di Email fraudolenti aventi come oggetto “Purchase Order #130527”, “Confirmation” o stringhe similari.

La particolarità di questa campagna di malware risiede nel fatto che non è richiesta l’attivazione delle macro per eseguire il codice malevolo, come di norma accade quando vengono utilizzati documenti di Microsoft Office come vettore di attacco.

Se l’utente incautamente apre il file PowerPoint malevolo, gli viene mostrata una singola schermata con un link al centro che recita “Loading…Please wait”. La trappola scatta semplicemente scorrendo con il cursore sopra il link: questo evento innesca il tentativo da parte dell’applicativo PowerPoint di eseguire un programma esterno che in questo caso consiste in un comando PowerShell e un piccolo script che scarica un payload aggiuntivo da un URL remoto.

Fortunatamente, il codice non viene eseguito automaticamente e PowerPoint mostra di norma un avviso di sicurezza (vedi immagine).

Zusy Powerpoint Alert

Fonte: SentinelOne

Naturalmente questo non impedisce ad un utente frettoloso o disattento di abilitare comunque l’esecuzione del codice malevolo. L’avviso viene mostrato sia da PowerPoint 2010, sia da PowerPoint 2013, mentre PowerPoint Viewer non risulta vulnerabile in quanto blocca qualsiasi esecuzione di codice esterno.

I ricercatori di SentinelOne stanno ancora investigando su questa nuova minaccia. Un’altra interessante analisi di questo malware, che include anche svariati IoC, è stata pubblicata dal blog Dodge This Security.

Il tasso di rilevazione del file PowerPoint malevolo con funzione di downloader e della variante di Zusy da parte dei più diffusi antivirus appare piuttosto elevato.

Per evitare di cadere vittime di questo tipo di minacce, si raccomanda agli utenti di esercitare estrema cautela riguardo Email di provenienza sospetta, di non aprire mai gli allegati e di prestare particolare attenzione agli avvisi di sicurezza mostrati dal sistema e dagli applicativi.

Notizie correlate

Aggiornamenti di sicurezza per prodotti Microsoft (agosto 2019)

27 agosto 2019

Nella giornata del 13 agosto 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (maggio 2019)

15 maggio 2019

Nella giornata del 14 maggio 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (settembre 2018)

12 settembre 2018

Nella giornata dell'11 settembre 2018 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti, tra cui Windows, Internet Explorer, Edge, Office e SharePoint.Leggi tutto