Ultimamente, stiamo assistendo a diversi attacchi che dimostrano quanto le tecniche di aggressione degli hacker si siano affinate. Dopo il malware, nascosto in PowerPoint, che si attivava senza la necessità che l’utente cliccasse sul link malevolo, alcuni ricercatori ne hanno segnalato un altro che, grazie a tecniche di occultamento assai complesse, permette di prendere il controllo di un PC in pochi minuti, con relativo furto di informazioni sensibili, di grande rilievo finanziario.
La rilevazione di questa minaccia, secondo i colleghi di TomShw, e Security Info, è avvenuta grazie alla security house israeliana Morphisec: quest’ultima ha scoperto che il gruppo hacker FIN7 ha inviato – a diversi ristoranti o, comunque, esercizi commerciali che gestiscono i pagamenti tramite carte di credito – una mail dall’apparente aspetto professionale (con oggetto “menu.rtf”, “Olive Garden.rtf”, o “Chick-fil-A Order.rtf”), nella quale si proponeva loro il noleggio di una sala per un pranzo d’affari, o l’acquisto di un servizio tipo catering. Per consultare i dettagli della proposta, veniva fornito un allegato Word che, però, conteneva un pericoloso oggetto OLE.
Quest’ultimo, all’apertura dell’allegato, eseguiva un codice javascript che, prima richiedeva di disabilitare la visualizzazione protetta (adottata dalle ultime versioni di Office verso i contenuti ricevuti in posta elettronica) e, poi, dopo un lasso di tempo necessario a non indurre sospetti, scriveva delle stringhe di PowerShell Code nella RAM, premunendosi di rimuovere – ove possibile – il prefisso “MZ” che avrebbe potuto essere rilevato dagli antivirus.
A questo punto, sfruttando dei tipici strumenti “Meterpreter”, simili ai programmi di assistenza remota che non richiedono di installare alcunché in locale per eseguire dei test di sicurezza, si prendeva il controllo del computer, comunicando all’esterno tutte le informazioni economiche scovate sia nel PC compromesso che, in linea laterale, in tutti i dispositivi ad esso connessi nella medesima rete locale.
Per questo motivo, oltre a non disabilitare – quando richiesto – la protezione della “visualizzazione protetta” dai file ricevuti come allegato email, si raccomanda di aggiornare le proprie difese antivirus, adottando soluzione mirate per gli attacchi “fileless” che sfruttano librerie caricate in memoria. Infatti, conclude Morphisec, ad un’attenta analisi dell’allegato word infetto con i 56 antivirus tradizionali adoperati dallo scanner online VirusTotal, non uno di essi ha rilevat il pericolo di cui sopra.