Nuova minaccia ransomware, file PowerPoint usati per prendere il controllo dei computer

Stando all’allarme lanciato da alcune compagnie di cybersecurity, negli ultimi giorni starebbero aumentando in maniera considerevole le minacce alla sicurezza informatica per tantissimi cittadini e imprese. In particolare, alcuni malintenzionati starebbero utilizzando e-mail provenienti da social network con allegati file .ppam che nasconderebbero invece malware in grado di riscrivere le impostazioni del registro di Windows.

Gli hacker in pratica utilizzerebbero un file PowerPoint per nascondere eseguibili dannosi che possono riscrivere le impostazioni del registro di Windows e quindi prendere il controllo del computer di un utente finale.

Si tratta di uno dei tanti modi con i quali cybercriminali hanno preso di mira gli utenti desktop negli ultimi tempi, mascherando cioè sotto l’apparenza di una applicazione affidabile, ed utilizzata quotidianamente da tantissime persone soprattutto in questo periodo di smart working, file dannosi in grado di eludere i rilevamenti di sicurezza apparendo assolutamente legittime.

Una nuova ricerca di Avanan, una società che si occupa di sicurezza informatica, ha scoperto come un add-on poco conosciuto di PowerPoint – il file .ppam – venga utilizzato per nascondere malware. Jeremy Fuchs, ricercatore di cybersecurity e analista di Avanan, ha scritto in un rapporto pubblicato giovedì che il file in questione spesso contiene al suo interno comandi aggiuntivi e macro personalizzate che costituiscono una grave minaccia per la sicurezza informatica.

Il vettore è sempre la mail

Una e-mail osservata nel corso di questa campagna di cyber attacchi, per esempio, pretendeva di inviare al destinatario un ordine di acquisto. Il file per apparire legittimo includeva un allegato .ppam chiamato PO04012022, ma si trattava in realtà di un file eseguibile dannoso, ha detto Fuchs.

Il payload eseguiva una serie di funzioni sulla macchina dell’utente finale che non erano autorizzate dall’utente, tra cui l’installazione di nuovi programmi in grado di creare nuovi processi, cambiando gli attributi dei file e richiamando dinamicamente funzioni importate.

“Facendo leva sulla potenziale urgenza di un’e-mail contenente un ordine di acquisto, insieme a un file pericoloso mascherato, questo attacco è in grado potenzialmente di essere devastante per un utente finale o una società” ha scritto Fuchs.

.ppam logo
All’apparenza innocui file PowerPoint, nascondono in realtà una letale minaccia alla sicurezza informatica

Lo scopo dei cybercriminali è bypassare la sicurezza esistente di un computer e quella degli strumenti utilizzati dai provider di posta elettronica come Google, con un file che è raramente utilizzato e che quindi non farà scattare l’allarme dei tradizionali antivirus per e-mail, nemmeno se si utilizzano VPN. Tuttavia sempre meglio avere delle protezioni a portata di clic che non averne affatto perché, ad esempio con una VPN è possibile criptare i dati di accesso a siti sensibili, come quelli di banche e operatori finanziari e rendere il lavoro degli hacker più difficili.

Sul mercato ci sono tantissimi servizi VPN gratuiti – ad esempio ti consigliamo di provare i migliori servizi VPN gratuiti di Wizcase – ma è bene scegliere sempre un servizio dotato di un sistema di crittografia end-to-end, che limita la leggibilità dei dati trasmessi al destinatario e la possibilità di essere intercettati da qualsiasi server intermedio tra il nostro computer e la VPN.

VPN

Contenimento e prevenzione

Gli attacchi a dir la verità sono cominciati molto tempo fa, a partire da ottobre dello scorso anno, quando sono emersi rapporti che gli hacker stavano utilizzando i file .ppam per nascondere il ransomware, ha detto, citando un rapporto sul ransomware Ppam pubblicato nel mese di ottobre dal portale di cybersicurezza PCrisk.

Per evitare che le truffe via e-mail colpiscano gli utenti aziendali, Fuchs ha raccomandato agli amministratori di sicurezza alcune precauzioni tipiche che dovrebbero essere implementate in modo coerente.

Un primo consiglio è quello di installare un sistema di protezione per le e-mail che scarica tutti i file in una sandbox e di ispezionarli successivamente attraverso un software antivirus aggiornato. Un altro è quello di prendere ulteriori misure di sicurezza – come l’analisi dinamica delle e-mail per gli indicatori di compromissione (IoC) – per garantire la sicurezza dei messaggi che entrano nella rete aziendale, ha detto.

“L’ e-mail contenente il file .ppam non ha superato un controllo SPF* e c’era una reputazione storica insignificante con il mittente”, ha scritto Fuchs del messaggio di phishing osservato dai ricercatori Avanan, confermando che, utilizzando le giuste precauzioni, è possibile non cadere vittima degli hacker.

*(SPF, acronimo che sta per Sender Policy Framework, è una tecnica di autenticazione e-mail utilizzata per impedire agli spammer e ad altri malintenzionati di inviare messaggi spoofati da un altro nome di dominio ndr.)

Altro consiglio di Fuchs è rivolto alle aziende che dovrebbero anche incoraggiare continuamente gli utenti finali nelle loro reti a contattare il loro dipartimento IT se vedono un file sconosciuto arrivare via e-mail.

Presi di mira degli utenti desktop

Un’altra campagna di hacking ha riguardato alcuni strumenti di collaborazione di Google Drive, al fine di spingerli a cliccare su link dannosi che ad esempio invitavano le persone a condividere un documento di Google.

I link indirizzavano poi gli utenti a siti web che rubavano le loro credenziali.

Un’altra ondata di attacchi di phishing che i ricercatori di Avanan hanno identificato a dicembre ha preso di mira principalmente gli utenti di Outlook, sfruttando la funzione “Commenti” di Google Docs per inviare link dannosi che hanno anche rubato le credenziali delle vittime.

Il mese scorso, il team Avanan ha riferito di un’altra truffa che i ricercatori hanno osservato nel mese di dicembre in cui gli hacker creavano account all’interno della suite Adobe Cloud per l’invio di immagini e PDF all’apparenza legittimi, ma che in realtà nascondevano malware pronto a colpire gli utenti di Office 365 e Gmail.

Insomma mai come in questo periodo, con l’attuale situazione geopolitica internazionale, il più frequente ricorso al lavoro da remoto, anche da parte di persone poco “tech savy”, occorre prestare ulteriore attenzione alle possibili minacce informatiche provenienti dagli strumenti di lavoro che utilizziamo più frequentemente, ovvero email, editor di testi, fogli di calcolo e di presentazioni.

Arturo D'Apuzzo
Arturo D'Apuzzo
Nella vita reale, investigatore dell’incubo, pirata, esploratore di tombe, custode della triforza, sterminatore di locuste, futurologo. In Matrix, avvocato e autore di noiosissime pubblicazioni scientifiche. Divido la mia vita tra la passione per la tecnologia e le aride cartacce.

1 commento

Rispondi

Ultimi Articoli

Related articles