Un ransomware nascosto in un documento Word nascosto in un PDF

Le nuove minaccePer gli utentiRansomwareSpam
ransomware nascosto

I SophosLabs hanno scoperto una nuova campagna spam in cui il ransomware viene scaricato e innescato da una macro nascosta all’interno di un documento di Word che è a sua volta inserito in un PDF, proprio come una matrioska russa. Il ransomware in questo caso sembra essere una variante di Locky.

La maggior parte dei filtri antivirus sanno riconoscere le macro sospette nei documenti, ma, secondo i ricercatori di SophosLab, nascondere quei documenti all’interno di un PDF potrebbe essere un modo efficace per aggirarli.

Come appare l’ultima tattica

Seguendo un modello tipico, quest’ultima offensiva ransomware viene inviata come spam con un allegato PDF:

Il PDF ha un documento allegato al suo interno che cerca di essere aperto dall’Acrobat Reader:

Una volta che il documento viene aperto in Word, ti chiede di abilitare l’editing attraverso un attacco di social engineering:

Cosa bisogna fare?

Ci sono cose che le persone possono fare per meglio proteggersi da questo tipo di attacchi:

  • Fate regolarmente il backup e tenetene una copia recente off-site. Oltre al ransomware ci sono decine di modi in cui i vostri file possono scomparire, ad esempio un incendio, un allagamento, un furto, un laptop dimenticato e persino una cancellazione accidentale. Criptate i vostri backup e non dovrete più preoccuparvi che il vostro dispositivo cada nelle mani sbagliate.
  • Non abilitate le macro nei documenti allegati che ricevete via email. Parecchi anni fa Microsoft disabilitò l’autoesecuzione delle macro per default come misura di sicurezza. Molte infezioni malware fanno affidamento sul fatto che vi indurranno ad abilitare le macro, quindi non fatelo!
  • State attenti agli allegati non richiesti. I malintenzionati fanno affidamento sul fatto che non dovreste aprire un documento finché non siete sicuri che sia quello che stavate aspettando, ma non si può sapere se lo è fino a quando non lo si apre. Nel dubbio, lasciatelo perdere.
  • Aggiornate subito, Aggiornate spesso. Il malware che non viene inviato tramite macro in un documento spesso si basa su bug di protezione in applicazioni popolari, tra cui Office, il vostro browser, Flash e altro ancora. Prima aggiornate, meno falle restano aperte che i criminali possono sfruttare. Nel caso di questo attacco, gli utenti vogliono essere sicuri di utilizzare le versioni più aggiornate di PDF e Word.
  • Usate Sophos Intercept X, che ferma il ransomware bloccando l’encryption non autorizzata di file.

Sophos ha individuato il PDF come Troj/PDFDoc-C e il payload come Troj/Locky-UP.

Altri link che potreste trovare utili:

 

Tratto dall’articolo “Ransomware hidden inside a Word document that’s hidden inside a PDF” di Bill Brenner

2 Commenti

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.