Non è la prima volta che mi chiamano per gestire questo tipo di problematiche e la storia è sempre la stessa: arriva una mail di risposta da parte di un cliente o fornitore, con un invio a visionare l’allegato e il classico file word .doc.
La chiamata che mi arriva è la classica chiamata che preferisco non sentire “La mail notificava un’incompatibilità con la versione di Office, abbiamo cliccato su abilita modifiche e abilita contenuto, il mittente è affidabile e stavamo effettivamente aspettando una risposta”.
Ho l’antivirus, sono inattaccabile.
Nel mentre che sto scrivendo questo articolo leggo l’articolo su Tom’s Hardware – Attenzione al trojan URSNIF, in Italia sta facendo disastri, dove leggo basito:
alcuni utenti arrivano addirittura a ignorare gli avvisi dell’antivirus e a disattivare la protezione pur di aprire il file Word allegato al messaggio
Pensate seriamente che un programmatore intenzionato a infettare il vostro sistema possa essere così stupido da usare un sistema vecchio e ormai riconosciuto da tutti gli strumenti di prevenzione?
Pensate seriamente che installando antivirus, antimalware e altri strumenti siete automaticamente al riparo da qualsiasi forma di attacco?
Ebbene, il codice trojan che ho avuto modo di visionare non è stato rilevato come malevolo su postazioni dove era presente McAfee e Malwarebytes (nelle versioni a pagamento).
Dopo circa mezz’ora dall’infezione, veniva riconosciuto come potenziale vettore\trojan\downloader da 6 motori antivirus su 59 e.. la cosa più interessante è che in questi 6 software non erano presenti quelli più famosi e blasonati.
Quindi, sentitevi sicuri dietro i vostri Avast, Avira, McAfee, Norton, MS e compagnia bella.
Io in questi tranelli non ci casco!
Questo genere di attacchi sono sempre più articolati e purché giocano su una forma di ingegneria sociale piuttosto basilare, riescono a trarre in inganno anche gli utenti più smaliziati, inutile negare l’evidenza: se ricevete una mail di risposta ad una mail precedentemente inviata, da un mittente affidabile, in determinato contesto specifico, potreste decidere di attivare la macro inclusa nel documento e dare modo all’infezione di lavorare sul vostro sistema.
Sicuramente nelle prossime versioni miglioreranno ancora, arriveranno ad utilizzare informazioni più precise e invieranno messaggi mirati alle aziende e al singolo individuo, se avete la convinzione di essere invincibili.. buona fortuna!
Perché esistono ancora questo tipo di problemi?
Dal mio punto di vista il problema principale è MS, sono decenni che file doc e xls integranti uno script\macro sono un possibile veicolo di infezioni, è inconcepibile che MS non sia stata in grado di arginare, l’unica soluzione logica è stata la creazione di un blocco completo, una barra di color giallo che non mette minimamente in allerta l’utente, lo stesso colore per ogni tipo avviso indipendentemente dal livello di potenziale pericolo, ciò trasforma la pressione del tasto “abilita” una sorta di fastidiosa routine.
Perché non integrare uno strumento di debug semplificato? Tipo “La macro sta connettendo al sito www.abc.com e questo è un comportamento anomalo: consentire?”, oppure perché non integrare uno scansione preventiva? Si parla tanto di cloud e integrazione di questo nelle applicazioni ma.. la gente è ancora costretta ad inviare gli allegati su Virustotal.com.
Cosa fanno questi attacchi?
Gli script inclusi in questi documenti “non sono maligni”, non contengono codice identificabile come dannoso, sono solo dei cavalli di troia che una volta attivati connettono ad una sorgente esterna e scaricano il codice malevolo vero e proprio. Per questo motivo ogni attacco è differente, la modalità e l’obbiettivo possono cambiare, qualche volta può essere un ransomware, lo sfruttamento dell’hardware per il mining, il furto di dati, password e informazioni e.. altro.
Cosa fare in caso di infezione?
Bella domanda, ma la risposta non può essere unica perché varia in base al tipo di infrastruttura informatica in cui il vostro sistema è inserito.
L’importante è non ignorare l’anomalia: se avete aperto un documento con un contenuto anomalo e\o che vi ha suggerito di effettuare un’attivazione delle macro\abilitare le modifiche\abilitare il contenuto, non fate finta di niente, più il tempo passa più il danno sarà esteso.
La prima cosa da fare è isolare istantaneamente ogni computer infetto in qualsiasi modalità, distaccando il cavo di rete (se presente) e\o spegnere il wireless (se presente).
Isolato istantaneamente il sistema dal resto della rete, c’è da fare una scelta ben più complessa: spegnere il computer?
Purtroppo non è una scelta semplice, non entro nel dettaglio perché il discorso è molto articolato, però in alcuni casi lo spegnimento del sistema potrebbe cancellare alcune informazioni che potrebbero permettere ad un tecnico competente di recuperare i file a cui è stata applicata la crittografia o peggio l’intera partizione verrà crittografata all’avvio successivo del sistema.
Se il computer non contiene dati importanti e l’azienda lavora su un sistema di cartelle condivisa da un server NAS o su un sistema di sincronia (Dropbox, Onedrive, Google Drive, Synology Cloud, etc.) conviene troncare istantaneamente l’alimentazione (staccando cavi di alimentazione ed eventuali batterie), così da limitare i danni e il tecnico può sperare nel recupero di qualche informazione utile dal disco.
Se il computer contiene dati importanti e non avete effettuato un backup recentemente, potete lanciare una moneta: testa spegnete il computer, croce lo lasciate attivo. In entrambi i casi chiamate un tecnico in grado di gestire la situazione, nell’intanto consiglio di arginare scaricando l’ottimo strumento Flagrum Tool®.
Soluzione?
Se cercate la soluzione per ripulire il PC dopo aver accettato la macro, purtroppo questo articolo non può esservi utile perché come riportato sopra, ogni attacco può essere differente e in quelli più articolati il sistema cerca di cambiare nomi, posizionamenti e segni distintivi per eludere i sistemi di identificazione, solitamente scrivono in qualche sottocartella di %appdata%, in %userprofile%, si appoggiano sulla %temp%, ma sicuramente presto troveranno altri posizionamenti.