di Pierguido Iezzi

Le macro di Microsoft Excel, usate dalle aziende in tutto il mondo, si rinnovano come veicolo di malware

Microsoft Excel ha quasi 30 anni oramai ed è senza dubbio uno dei software più onnipresenti in tutti in contesti aziendali e non di tutto il mondo. Ma questo software è da lungo tempo anche una delle esche preferite del cybercrime per nascondere malware (tramite Macro). Inoltre, secondo uno studio, i criminal hacker potrebbero aver trovato nuovi exploit per rendere ancora più pericolosa questa tecnica. Secondo VMware, infatti, gli aggressori hanno continuato a sviluppare questa soluzione di cyber attacco, rendendo i fogli di calcolo “dannosi” maggiormente sofisticati e difficili da individuare (le macro di Excel 4.0, macro XL4 sono diventate più diffuse da febbraio). Gli attacchi iniziano quasi sempre tramite phishing, con un file XLS dannoso recapitato via e-mail. Consegnato il messaggio, le vittime vengono ingannate affinché abilitino le macro. Fatto ciò, l’aggressore ha piena libertà di accedere alla rete-bersaglio per scaricare altri payload dannosi e soprattutto più disruptive.

Diverse famiglie, tra cui Trickbot, Danabot, Ursnif/Gozi e ZLoader, hanno utilizzato le macro di Excel per infiltrare una rete target. Ma il cybercrime potrebbe sfruttarle anche per altri tipi di attacco

Diverse famiglie di malware, tra cui Trickbot, Danabot, Ursnif/Gozi e ZLoader, hanno utilizzato le macro di Excel per infiltrare una rete target. Ma in realtà, questo tipo di malware apre la porta a una vasta gamma di possibilità di cyber attacco che non si ferma ai “soliti noti”. I ricercatori di cybersecurity, infatti, ritengono che le macro di Excel 4.0 siano attualmente un “territorio inesplorato”, dove entrambe cybercrime e difensori imparano continuamente nuovi trucchi. Gli autori di malware continuano a spingere i confini, identificando nuovi modi per eludere il rilevamento. I ricercatori di sicurezza, invece, cercano di determinare come valutare meglio i documenti Excel. Il gioco del gatto e del topo continuerà probabilmente anche negli anni a venire. Microsoft incoraggia gli utenti a scartare le macro di Excel 4.0 e a migrare verso le più moderne su Visual Basic for Applications (VBA). Tuttavia, molte aziende si affidano ancora a questa funzionalità, quindi è improbabile che venga “pensionata” nel breve.

Cosa sono le Macro di Excel?

Le macro di Excel 4.0 sono qualcosa di incredibilmente vecchio, ma niente di particolarmente stravagante. Un utente impiega circa 30 secondi per crearne una, che può visualizzare un messaggio sullo schermo o eseguire un’applicazione Windows. L’idea di permettere di creare macro che automatizzassero compiti ripetitivi è stata presente fin dagli inizi di Excel, e XLM è diventato il linguaggio macro predefinito dal lontano 1992, quando è stato lanciato Excel 4.0. Peraltro, non sono solo facili da creare, ma anche potenti. Alcune possono essere semplici come =EXEC(“calc.exe”), che visualizza la calcolatrice. Altre , invece, sono in grado di compilare diverse linee di codice che permettono l’accesso al file system, al registro di sistema, a WinAPI e altro ancora. Al contrario, le macro standard sono limitate ai calcoli relativi al workbook e non possono interagire con il sistema a basso livello.

VMware ha raccolto migliaia di campioni per analizzare l’evoluzione della minaccia alla cybersecurity

Facile capire come un tool così semplice come le macro, nelle mani sbagliate, possa diventare un’arma devastante. Proprio per questo la ricerca degli esperti di cybersecurity di VMware ha raccolto migliaia di campioni, cercando di capire come questa minaccia si sia evoluta nell’ultimo anno. Hanno contato 15 ondate di attacchi in totale, di solito a una o due settimane di distanza l’una dall’altra. Confrontando i campioni tra le diverse waves, gli esperti hanno potuto studiare come gli autori di malware abbiano imparato anche a utilizzare tecniche avanzate di evasione e offuscamento.  Sebbene gli autori abbiano continuamente migliorato le proprie tecniche, hanno mantenuto la funzionalità di base dei campioni, che consisteva nello scaricare ed eseguire un payload come un file EXE o DLL. All’inizio tutti i campioni rilevati avevano un foglio macro nascosto che conteneva il payload. Era abbastanza facile da scoprire e il codice non era in alcun modo offuscato.

L’utilizzo delle macro è cambiato a partire da febbraio, quando sono state sfruttate tecniche di offuscamento

A febbraio è seguita la seconda ondata di attacchi del cybercrime, simile alla prima. Tuttavia, è stata caratterizzata da alcune banali tecniche di offuscamento: il codice era sparso sul foglio delle macro e scritto con un font bianco su sfondo bianco. Le ondate successive seguite dimostrano la rapidità con cui gli autori di malware hanno migliorato le loro competenze. A metà marzo, infatti, le macro sfruttavano massicciamente la funzione CHAR(integer) che traduce le lettere in codice ASCII. Ogni lettera del payload è scritta utilizzando la corrispondente funzione CHAR e poi la stringa è stata concatenata (una tecnica di offuscamento comune che appare in vari altri formati). Poi, si sono viste più attività WinAPI e le macro hanno iniziato a controllare le impostazioni di sicurezza specifiche per Excel nel registro di Windows. Alla fine di aprile sono apparsi i primi campioni dove il payload era nascosto tra decine di fogli indipendenti.

Gli autori di malware hanno anche adottato strategie di debug per complicare l’analisi degli attacchi

Un’altra tecnica di evasione migliorata dal cybercrime è emersa verso la metà di maggio, quando i campioni hanno iniziato a controllare se la finestra di Excel fosse nascosta o minimizzata. Azioni che potrebbero suggerire che non sia stata vista da un utente abituale, ma da un esperto di cybersecurity. Gli autori di malware hanno anche sondato se il campione funzionasse in modalità single-step, una strategia di debug che avrebbe potuto aiutare un ricercatore di sicurezza ad osservare i risultati di ogni azione nella macro. Nel periodo di giugno e luglio, i samples presentavano tecniche ancora migliori. Gli autori di malware hanno iniziato ad affidarsi molto a Visual Basic Script (VBS) nel loro payload e controllavamo se la macchina utilizzava un’architettura a 32 o 64 bit, scaricando il payload corrispondente. Per le prime hanno utilizzato tecniche simili a quelle delle precedenti ondate di attacchi. Tuttavia, per le seconde si sono affidati a due script VBS: uno che scaricava la DLL e l’altro che l’eseguiva. Nel corso dell’estate, i ricercatori di VMware hanno visto un’ultima interessante ondata di attacchi, che ha utilizzato powershell.exe per scaricare ed eseguire gli script PowerShell come payload di secondo livello.

Perché le macro sono qui per restare, ma non tutto è perso

Alla fine dell’estate, i ricercatori di cybersecurity hanno visto un calo di attività. Ciò non significa che l’emergenza sia sparita, anzi. L’evoluzione continua nelle tecniche impiegate quest’anno dovrebbe essere un campanello d’allarme non indifferente. Dall’iniziare a scrivere codice usando un font bianco su sfondo bianco, i Criminal Hacker sono passati rapidamente all’uso delle funzioni CHAR e DIM. Per contrastare la minaccia è importante ricordare che, oltre ai sistemi di rilevamento e di protezione da queste minacce, è fondamentale il ruolo che svolge l’uomo nella riuscita o meno di questi attacchi.

Un utente correttamente formato e con il giusto livello di awareness può riconoscere ed eliminare alla radice il problema

Se è vero che le macro più avanzate potrebbero bypassare i software di sicurezza, un utente correttamente formato e con il giusto livello di awareness saprà riconoscere ed eliminare alla radice il problema. Per questo servizi come il Phishing Attack Simulation sono imprescindibili: perché soddisfano i requisiti “umani” necessari a costruire un Cyber Security Framework di successo! La Cyber Security, va sempre ricordato, non è solo tecnologia e soprattutto non è monolitica. Il miglior antivirus, i migliori EDR…non valgono nulla se la componente umana è vulnerabile.

Non abbassiamo la guardia!