Qualche giorno fa, l’esperto di sicurezza Ruben Daniel Dodge avvisò del pericolo che si poteva correre nel fruire di alcuni documenti, redatti in Office PowerPoint e provenienti da Internet, senza che si fosse in possesso di una versione aggiornata della suite Microsoft. con – anche – la “Visualizzazione protetta” attivata. Nelle scorse ore, una nota security house ha notiziato proprio di una campagna virale che avrebbe sfruttato il pericolo in questione: vediamo di cosa si tratta.
Trend Micro, azienda nipponica con una trentennale esperienza nella sicurezza informatica, ha diffuso una nota – sul suo blog ufficiale – in cui racconta di una campagna virale iniziata nella seconda metà di Maggio, con il picco di segnalazioni (1444) ricevute il 25 Maggio: nella fattispecie, si trattava di un invio massiccio, in poche ore, di milioni di messaggi di posta elettronica (anche in paesi europei come Svezia, Paesi Bassi, Polonia, UK) configurati per sembrare delle comunicazioni finanziarie.
Queste mail, con oggetto “Confirmation” (conferma), “Invoice” (fattura), o “Purchase Order” (ordine d’acquisto), oltre a riportare le credenziali di una fantomatica società, invitavano ad aprire un allegato PowerPoint, con estensione PPS o PPSX, in modo da poter appurare i dettagli di un acquisto od ordine effettuato, e sul quale ci si era accordati in precedenza. Una volta scaricato ed aperto l’allegato, in virtù di un comando PowerShell, l’ignara vittima – anche solo passando il cursore del mouse su un link, senza cliccarlo – finiva per attivare il download di una backdoor (chiamata, di volta in volta “Gootkit”, “OTLARD”, o “Zusy”) che, analizzato il computer infettato, comunicava ad un server remoto le credenziali bancarie individuate, comprensive di password, codice, e numeri di conto corrente.
Secondo Trend Micro, l’azione di questa backdoor finanziaria di nuova concezione potrebbe aver fatto diversi danni, anche con un tasso di successo dello 0,5%: questo perché, innanzitutto, sarebbe destinata ad aziende e privati, ma anche perché l’unico modo per affrontarla è quello di aprire i documenti ricevuti in “Visualizzazione protetta”, una modalità che si disattiva quando si modificano o stampano i documenti, e che molti disabilitano precipitosamente come fosse un fastidio.
Per questo motivo, oltre ad aggiornare la propria soluzione antivirus, e la versione di Office di cui si è in possesso a quelle più recenti (dal 2010 in avanti), sarebbe bene aprire i documenti PowerPoint ricevuti in mail o nella modalità web di Office 365, o tramite PowerPoint Online, accessibile dal proprio account su office.live.com.