Numerosi documenti Office maligni in circolazione

08.07.2016 - Nelle scorse settimane la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione MELANI ha ricevuto numerosi annunci inerenti documenti di Microsoft Office nocivi, diffusi via e-mail con l’obiettivo di infettare il computer delle vittime con software maligni (malware). Per questo motivo MELANI ha deciso di mettere esplicitamente in guardia dall’apertura di simili documenti Office, consiglia agli utenti di internet una particolare cautela nei confronti di questo genere di documenti e di non eseguire alcun macro Office.

Il numero di campagne spam, che distribuiscono documenti Microsoft Office nocivi (riconoscibili dalle estensioni dei documenti .doc, .docx, .xls, .xlsx, .ppt e .pptx), è aumentato rapidamente nelle ultime settimane. Quasi giornalmente la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione MELANI ha osservato campagne spam di questo genere, aventi lo scopo di infettare i computer di cittadine e cittadini con un software maligno (malware). Di recente, ad essere diffusi utilizzando questo vettore d’attacco, sono in particolare Locky (Ransomware) e Dridex (troiano eBanking). Mentre il programma nocivo Locky cifra i documenti salvati sui computer delle vittime per poi ricattarle, Dridex mira ai conti eBanking degli utenti Internet svizzeri.

office_markro_deaktivieren
Figura 1 – Avviso di protezione Office nell’aprire un documento contenente macro -
In italiano : Avviso di protezione – Le macro sono state disattivate

Per infettare il computer della vittima gli aggressori utilizzano delle macro. Per motivi di sicurezza Microsoft ha disattivato nella modalità standard l’esecuzione di macro prive di firma digitale. I malfattori tentano perciò, con tattiche di Social Engineering, di convincere i destinatari delle e-mail ad attivare l’esecuzione di macro (vedi screnshoot sopra). Se le macro vengono attivate scaricano automaticamente i codici nocivi da Intenet e infettano i computer con malware.

Agli utenti privati di internet MELANI consiglia:

 

  • Siate prudenti con documenti Microsoft Office (Word, Excel, PowerPoint). Non aprite nessun documento Office inviato da mittenti sconosciuti o sospetti. In caso di dubbio non esitate a verificare la legittimità del documento telefonicamente.
  • Non eseguite mai macro in documenti Office che vi sono stati inviati via email. Neanche se dovesse venirvi richiesto esplicitamente. Le macro possono danneggiare il vostro computer (vedi screenshot sopra).
  • Generalmente mostrate scetticismo nei confronti di e-mail inaspettate (ad es. candidature, fatture, ordinazioni, ecc.) o inviate da un mittente sconosciuto. In caso di dubbio non esitate a verificare la legittimità del documento telefonicamente.
  • Utilizzate una versione attuale del software antivirus. Se utilizzate un antivirus a pagamento assicuratevi di pagare l’abbonamento alla fine dell’anno, altrimenti l’antivirus è inutile.
  • Eseguite regolarmente una copia di sicurezza (backup) dei vostri dati. La copia di sicurezza dovrebbe essere salvata offline, cioè su un supporto esterno, ad esempio un disco rigido esterno. Assicuratevi che il supporto su cui eseguite la copia di sicurezza  venga staccato dal computer subito dopo il processo di backup.

 

Alle imprese MELANI suggerisce le seguenti misure:

  • Adottate una firma collettiva per la convalida dei pagamenti via eBanking (in questo modo ogni pagamento dovrà essere approvato da due differenti contratti eBanking, rispettivamente da due differenti login, riducendo il rischio di un pagamento fraudolento). Contattate la vostra banca per informarvi sull’utilizzo del contratto collettivo.
  • Utilizzate per l‘eBanking un computer apposito, dedicato esclusivamente a questa attività (non per surfare in internet, leggere email, ecc.).
  • Assicuratevi che allegati email potenzialmente dannosi vengano bloccati già nel Gateway della vostra e-mail, rispettivamente filtrati dal filtro spam. Allegati e-mail pericolosi utilizzano, tra le altre, le seguenti estensioni:

.js (JavaScript)
.jar (Java)
.bat (Batch file)
.exe (Windows executable)
.cpl (Control Panel)
.scr (Screensaver)
.com (COM file)
.pif (Program Information File)
.vbs (Visual Basic Script)
.ps1 (Windows PowerShell)

  • Assicuratevi che allegati del genere vengano bloccati anche se inviati sotto forma di dati d’archivio, ad esempio ZIP, RAR ma anche di dati d’archivio cifrati (come un file ZIP protetto da password).
  • Infine si consiglia di bloccare tutti gli allegati e-mail che contengono macro (ad es. allegati Word, Excel o PowerPoint che contengono macro). 

Sulla pagina web di MELANI trovate ulteriori misure e consigli.

https://www.melani.admin.ch/content/melani/it/home/dokumentation/bollettino-d-informazione/malicious_office_documents.html