In aumento le e-mail che contengono documenti Office nocivi

20.01.2022 - La diffusione di malware tramite documenti di Microsoft Office nocivi è di nuovo in aumento. Una volta che il computer è infettato, gli aggressori possono accedere inosservati a tutta la rete. Aiutateci a lottare contro questi ciberattacchi e segnalate le e-mail sospette all'NCSC su antiphishing.ch.

Anche nel ciberspazio i giorni tranquilli a cavallo dell'anno sono definitivamente finiti: dal 10 gennaio 2022 l'NCSC ha registrato una massiccia ripresa delle segnalazioni relative a documenti di Microsoft Office nocivi inviati per e-mail a numerosi destinatari in Svizzera. Talvolta vengono riutilizzati anche vecchi scambi di messaggi del destinatario con lo scopo di guadagnarsi la sua fiducia e spingerlo a compiere azioni incaute (ingegneria sociale). Se la tattica funziona, la vittima apre l'allegato nell'e-mail e il software dannoso (malware) può infettare il computer inosservato. Nel mirino dei cibercriminali non ci sono soltanto gli utenti privati, anche le imprese sono un bersaglio redditizio per questo tipo di attacchi. Una volta che una rete aziendale è stata infiltrata, l'accesso ottenuto con la frode viene rivenduto a caro prezzo sul dark web. Le bande organizzate di hacker acquistano questi accessi ad esempio per cifrare i dati delle imprese con un trojan (il cosiddetto «ransomware»). Spesso per la decodifica dei dati chiedono un elevato riscatto.

Ecco come si infiltra il malware in una rete

Per diffondere i malware e penetrare nelle reti aziendali molti aggressori allegano alle e-mail soprattutto file Word ed Excel. Dato che si lavora spesso con questo tipo di documenti, riceverli per e-mail non è per nulla insolito e quindi non desta sospetti. Ciò che pochi sanno è che i documenti Office sono molto pericolosi. Le macro (codici di programma specifici che si possono inserire facilmente in un documento) permettono di diffondere i malware tramite e-mail e di far eseguire il codice. Se la vittima autorizza l'esecuzione della macro, il malware infetta il suo dispositivo a sua insaputa, i truffatori ottengono indisturbati accesso al computer e possono muoversi nella rete aziendale («lateral movement») ad esempio per infettare altri computer o tutta la rete.

Pertanto, i documenti Office sono un vettore d'entrata per molte famiglie di malware pericolose, come Qakbot (noto anche come «Qbot»), Dridex, TrickBot ed Emotet. Il grafico di seguito mostra i software dannosi («malware samples») che l'NCSC ha potuto attribuire alla famiglia di malware Emotet da metà dicembre. Le due grandi ondate di spam nel periodo che ha preceduto lo scorso Natale e nella seconda settimana di quest'anno con cui Emotet è stato diffuso su vasta scala sono chiaramente visibili.  

Malware rilevati associabili a Emotet
Malware rilevati associabili a Emotet

Consigli per proteggersi dai malware

Per eseguire una macro di Office di solito occorre l'autorizzazione dell'utente. Nell'esempio di seguito gli aggressori usano il pretesto di un aggiornamento di Office che richiederebbe l'attivazione dei «contenuti». In realtà, la vittima scarica Emotet e il suo sistema viene infettato.

Esempio di documento Word nocivo
Esempio di documento Word nocivo

Quindi, il modo migliore per proteggersi da attacchi di questo tipo è non attivare alcuna macro, nemmeno se invitati a farlo esplicitamente e con insistenza. In caso di dubbi informate sempre il reparto IT o contattate il mittente dell'e-mail. Inoltre, l'NCSC consiglia alle imprese di non dare ai collaboratori la possibilità di eseguire le macro, salvo in singoli casi giustificati.

Segnalate le e-mail sospette

Segnalate le e-mail sospette (phishing o malware) all'NCSC su: antiphishing.ch.
Se non sapete esattamente con cosa avete a che fare o desiderate un feedback, utilizzate il Modulo di segnalazione dell’NCSC.

La vostra segnalazione permette all'NCSC di avere un quadro della situazione più chiaro e, se necessario, di adottare misure preventive adeguate.

Notizie precedenti:

Ultima modifica 20.01.2022

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2022/vorsicht_e-mails.html