Un file Excel malevolo pensato per gli utenti italiani provoca il download di un pericoloso ransomware

I criminali informatici che hanno progettato e sviluppato la nuova aggressione sfruttano una campagna spam, email truffaldine e file Excel che contengono codice capace di scaricare da remoto ransomware e altri malware. L'attacco è difficilmente rilevabile dai sistemi antimalware convenzionali perché i malware writer hanno adottato un ingegnoso marchingegno che ha come protagonista Super Mario.
Michele Nasi
Pubblicato il 11 feb 2019
Un file Excel malevolo pensato per gli utenti italiani provoca il download di un pericoloso ransomware

C’è una campagna spam che sembra prendere di mira espressamente gli utenti italiani: alcuni utenti hanno iniziato a segnalare la ricezione di email sospette con contenuti nella nostra lingua e in allegato un file in formato Excel.
Nella maggior parte dei casi si fa riferimento a presunto un avviso di pagamento: una volta aperto il file Excel appare un messaggio che invita ad abilitare la modifica del documento e ad attivare l’esecuzione delle macro.

Ovviamente si tratta di uno schema ben noto: quella che potreste ricevere o aver già ricevuto nelle vostre caselle di posta altro non è che un’email truffaldina (phishing) che sprona l’utente ad aprire l’allegato malevolo.

Nel caso in cui si decidesse sciaguratamente per l’attivazione delle macro inserite nel file Excel, verrà automaticamente scaricata e mostrata una piccola immagine di Super Mario, il noto protagonista di molti videogiochi anni ’80 e ’90.

Secondo i ricercatori di Bromium, che hanno analizzato il codice alla base dell’aggressione, la particolarità del file Excel malevolo è che la macro in esso inserita provvede a estrarre le informazioni contenute in diversi pixel dell’immagine di Super Mario per ricostruire lo script Powershell da eseguire sul sistema della vittima.
L’obiettivo è evidente: quello di non destare alcun sospetto da parte di tutti i principali antimalware e superare i controlli esercitati dalle principali soluzioni per la sicurezza a livello aziendale.

Seguendo l’approccio illustrato nell’articolo Rimozione malware: come accorgersi della presenza di minacce fileless, l’idea è quella di non caricare subito sulla macchina del singolo utente codice che potrebbe essere facilmente intercettato dalle soluzioni antimalware ma costruirlo al bisogno, mattone dopo mattone.

Un meccanismo ingegnoso che prende di mira gli italiani: una semplice condizione if verifica il codice internazionale con cui Excel è stato aperto. Se un’apposita funzione Excel restituisse il prefisso 39 ovvero quello dell’Italia, il codice viene eseguito; diversamente la macro si astiene dal porre in essere alcuna modifica sul sistema in uso.

Una volta in esecuzione il codice Powershell, viene disposto il download e l’esecuzione automatica del malware Ursnif oltre ad altri noti componenti malevoli.

Maggiori informazioni possono essere trovati, oltre che sul sito di Bromium anche nell’analisi del team di ZLab (Yoroi-Cybaze), a questo indirizzo.

Ti consigliamo anche

Nuova minaccia Android: ecco il trojan bancario che
Vulnerabilità

Nuova minaccia Android: ecco il trojan bancario che "imita" Chrome
Tentativo di truffa ai danni di LastPass con IA che imita la voce del CEO
Vulnerabilità

Tentativo di truffa ai danni di LastPass con IA che imita la voce del CEO
Aumentati del 466% attacchi DDoS contro Svezia dopo l'adesione alla NATO
Vulnerabilità

Aumentati del 466% attacchi DDoS contro Svezia dopo l'adesione alla NATO
Nuova variante LockBit: la funzione di auto-diffusione preoccupa gli esperti
Vulnerabilità

Nuova variante LockBit: la funzione di auto-diffusione preoccupa gli esperti
Link copiato negli appunti