Uno dei modi più seguiti dagli hacker per infettare i computer delle proprie vittime consiste ancora nel far ricorso agli allegati. A conferma di ciò è giunta, in queste ore, la segnalazione di alcune software house di sicurezza, relativa alla scoperta di un recente attacco informatico, perpetuato grazie alla diffusione di un allegato Word.
La segnalazione in oggetto è stata fatta da FireEye, una security house americana, e dalla nota McAfee, ed è relativa ad una vulnerabilità zero-day, quindi freschissima, scoperta nel “Windows Object Linking and Embedding” (OLE) di tutte le versioni di Word attualmente in circolazione (anche di quella contenuta nel pacchetto Office 2016).
Basandosi su questo exploit, gli hacker hanno iniziato a diffondere un allegato via mail, in forma di documento RFT (rich text format) con estensione “.doc”: una volta aperto l’allegato, Word attiva una connessione HTTP (quindi non protetta) con un server remoto dal quale scarica – in locale – un’applicazione ipertestuale (HTA, Hyper Text Application).
Quest’ultima, sempre operando in background, esegue uno script – scritto in Visual Basic – che rappresenta il vero pericolo per il PC della vittima, dacché può eseguire qualsivoglia azione: nel caso specifico, le due aziende di sicurezza hanno notato che si procedeva al download ed all’installazione di un malware.
L’infezione informatica in questione, ancorché attiva dallo scorso Gennaio, avrebbe contagiato ancora pochi sistemi, ma il pericolo che riesca a fare altri danni è molto concreto: il codice malevolo su sui ci basa il nuovo attacco hacker, infatti, aggira le nuove protezioni di Windows 10, che monitora gli elementi eseguiti in memoria, chiudendo il processo di Word, onde nascondere il prompt avviato dall’esecuzione dell’oggetto “OLE2link”. Oltre a ciò, l’esecuzione del medesimo codice malevolo non richiede l’attivazione delle macro, sovente usate dagli hacker per diffondere virus tramite gli applicativi Office.
Nell’attesa che Microsoft, opportunamente avvertita del problema, rilasci un correttivo col patch day del 12 Aprile, è bene prestare attenzione agli allegati che vengono ricevuti, in particolar modo se di tipo “.doc”, anche se provenienti da contatti fidati.