Attenzione: un malware sfrutta PowerPoint, e non necessita di click

Non sempre è necessario che vengano attivate le macro di un documento Office, perché si arrivi all'installazione di un virus: un esperto di sicurezza ha dimostrato che, in un file PowerPoint, basta solo che il mouse scorra sopra una stringa di lettere qualsiasi.

Attenzione: un malware sfrutta PowerPoint, e non necessita di click

Prestando attenzione alle cronache della sicurezza informatica, si sarà notato come gli hacker siano soliti servirsi di allegati costituiti da documenti Office, per diffondere le proprie campagne virali. Questo perché, inserite delle stringhe in VisualBasic all’interno di questi documenti, è possibile sfruttare le macro per eseguire il codice, ed installare il virus. Da qualche tempo, Microsoft ha posto un tampone a questo problema, disattivando, di default proprio le Macro: tuttavia, un esperto di sicurezza ha rivelato che non sempre servono queste ultime per propagare un malware.

La spiegazione è stata fornita dall’esperto di sicurezza Ruben Daniel Dodge che, nel suo blog “Dodge This Security”, ha fatto l’esempio di un documento redatto in PowerPoint che, in una diapositiva, mostrava una sorta di messaggio di sistema, del tipo “Loading…Please wait” (in caricamento, per favore attendi). Di fronte alla mancanza di una barra di avanzamento, spiega Dodge, l’utente è portato a poggiare il cursore del mouse sopra il messaggio succitato, nella speranza che, sulla barra di stato o in un pop-up, compaia l’anteprima del link a cui il messaggio dovrebbe portare, con conseguenti maggiori dettagli di corredo

Il problema è che ciò non accade. Anzi, anche solo con questo piccolo gesto, si avvierebbe il download e l’installazione del virus, quasi senza che l’utente se ne renda conto: il merito (se così si può dire) di questo trucco va al fatto che, nel codice XML del documento, si è usato un particolare comando PowerShell, ovvero “hlinkMouseOver”, che assimila il semplice passaggio su un link ad un click del medesimo, avviando un collegamento remoto per il download del malware.

Per fortuna, precisa Dodge, quando si scarica un file che è allegato ad una mail, Office si premura di aprirlo in “Visualizzazione protetta”: questo fa sì che il codice malevolo incluso nel documento faccia chiedere all’utente, attraverso una finestra di dialogo, l’autorizzazione a collegarsi alle risorse online connesse al link. Un chiaro campanello d’allarme, questo, che dovrebbe mettere debitamente in guardia l’utente. 

Per questo motivo, Dodge raccomanda sottilmente di non modificare le impostazioni di sicurezza standard di Office e, oltre a ciò, di prestare sempre attenzione agli alert (“Security Notice“) che provengono da quest’ultimo. 

Continua a leggere su Fidelity News