La minaccia informatica dei malware nascosti all’interno dei documenti ha ripreso a crescere nel 2019: infatti il 48% di tutti i file malevoli individuati negli ultimi 12 mesi era una qualche forma di documento, per un totale identificato di più di 300mila documenti unici. Dall’inizio del 2019, inoltre, la frequenza di questo genere di attacchi è ulteriormente aumentata: così soltanto nel primo trimestre il 59% di tutti i file malevoli identificati era rappresentato da documenti, contro il 41% dell’anno precedente.
Sono i dati pubblicati dai ricercatori di Barracuda, da cui emerge che i cybercriminali usano l’email per recapitare un documento contenente software malevolo, che può essere nascosto direttamente nel file stesso, oppure il documento contiene uno script che scarica il malware da un sito esterno.
Per individuare queste minacce prima che possano infliggere danni ai sistemi delle vittime gli esperti utilizzano di solito la cyber kill chain, ripercorrendo in modello insetti passaggi che gli hacker utilizzano per scegliere le proprie vittime. Si parte dalla ricognizione, con la ricerca e selezione dell’obiettivo, per passare poi all’adescamento quindi alla messa a punto dell’offensiva. La fase successiva è il lancio dell’attacco, e a seguire l’uso degli exploit diffusi con l’attacco. Grazie all’installazione i criminali informatici stabiliscono poi una presenza persistente all’interno del sistema target, che possono utilizzare dall’esterno per raggiungere l’obiettivo alla base dell’attacco, che spesso consiste nella sottrazione di dati.
“La maggior parte del malware viene inviato come spam a imponenti liste di indirizzi email che vengono vendute, scambiate, aggregate e aggiornate man mano che si muovono nel dark web – spiega Barracuda in una nota – Un esempio di questo genere di aggregazione si ha nelle liste utilizzate per i sextorsion scams”.
I formati più comunemente usati sono quelli di documenti Microsoft e Adobe, ad esempio Word, Excel, PowerPoint, Acrobat. Quando il documento viene aperto o il malware viene automaticamente installato, oppure una macro o uno script nascosto nel documento viene lanciato per scaricare e installare il malware da una fonte esterna.
Formati d’archivio e script, spiega Barracuda, sono gli altri due più comuni metodi di distribuzione del malware mediante allegati. I criminali spesso modificano l’estensione del file nel tentativo di confondere gli utenti e spingerli ad aprire il documento.
Tra le soluzioni per individuare e bloccare in tempo questo genere di attacchi Barracuda individua le blacklist: spesso infatti gli stessi IP sono usati abbastanza a lungo da permettere ai software di riconoscerli e inserirli nelle black list, anche se vengono usati siti compromessi e botnet. Possono inoltre rivelarsi utili i filtri antispam e i sistemi di rilevamento del phishing, che possono cogliere sottili sfumature e contribuire a bloccare i messaggi e gli allegati potenzialmente pericolosi prima ancora che raggiungano la mailbox dell’utente. Per le email con documenti pericolosi allegati, è inoltre possibile effettuare analisi statiche e dinamiche che possono cogliere degli indicatori del tentativo da parte del documento di scaricare e lanciare un eseguibile. E’ in ogni caso utilizzare firewall di rete avanzati, dotato di funzionalità di analisi del malware.