Macro malware: la minaccia nascosta nei documenti Word e Excel

I documenti Word non sono sono sempre semplici strumenti di scrittura: se manipolati, questi file possono nascondere insidie comuni ma estremamente letali per la sicurezza informatica dell’azienda.
Questo articolo esplora un aspetto sorprendentemente pericoloso di questi file di testo: le funzioni macro utilizzate per scopi malevoli.

Un tempo utilizzate per automatizzare compiti ripetitivi, le funzioni macro oggi possono essere strumentalizzate nelle campagne phishing per diffondere attacchi malware.
Con un aumento significativo degli attacchi informatici che sfruttano questa tecnica, è cruciale comprendere come un documento Word possa trasformarsi in una minaccia impegnativa da fronteggiare.

Macro all’interno dei documenti Word, che cosa sono e come funzionano?

Le funzioni macro in Word sono programmi o script che possono essere incorporati all’interno del documento di testo per automatizzare azioni ripetitive. Le macro funzionano attraverso il linguaggio di programmazione VBA (Visual Basic for Applications) e possono eseguire una vasta gamma di funzioni, dalla formattazione del testo alla creazione di contenuti complessi.

Ecco come funzionano le macro:

Creazione della macro
Ovvero, il primo step a cui ricorrono gli attaccanti per la generazione di macro malevole.
Un utente può registrare una macro per automatizzare un’azione ripetitiva in Word. Questo viene fatto attraverso il menù di Word. per creare una macro basta aprire la scheda “Visualizza”, selezionando “Registra Macro”. Mentre si eseguono le azioni, Word registra i passaggi.
Scrittura del codice della macro
Per compiti più complessi, si può scrivere il codice manualmente impiegando il linguaggio VBA. Questo permette una personalizzazione maggiore e la capacità di eseguire funzioni più complesse.
Esecuzione della funzione macro
Una volta creata, la macro può essere eseguita in qualsiasi momento per ripetere automaticamente le azioni registrate o eseguire il codice.
Questo può consentirci di risparmiare tempo e un notevole sforzo, specialmente per compiti ripetitivi o complessi.
Salvataggio e condivisione
Le macro possono essere salvate all’interno di un documento o in un modello di Word, rendendo possibile condividere il documento con altri che possono beneficiare delle stesse automazioni.

Le macro sono sì estremamente utili, ma questa risorsa può essere sfruttata da chiunque anche per scopi malevoli.
Gli hacker possono creare macro dannose per eseguire codice arbitrario quando il documento viene aperto dalla vittima. Ecco perché Word di default chiede conferma prima di attivare le macro, specialmente se le macro provengono da fonti sconosciute o non fidate.

come creare documento con macro

Come si trasmettono i file di Word e Excel che contengono funzioni macro infette?

I file con macro infette vengono trasmessi principalmente attraverso le seguenti modalità:

E-mail
Una delle vie più comuni è l’invio di documenti Word infetti tramite e-mail di phishing. Questi file possono essere allegati direttamente all’email o condivisi tramite un link. Spesso, l’email contiene un messaggio che incoraggia il destinatario ad aprire il documento con estrema urgenza.

Download di file da siti web di dubbia provenienza
I file possono essere mascherati da software legittimo o documenti utili su siti web, incoraggiando gli utenti a scaricarli.
Una volta scaricati e aperti, se le macro vengono abilitate, il codice malevolo si attiva.

Dispositivi di archiviazione esterni
I file infetti possono essere trasmessi anche attraverso chiavette USB o hard disk esterni. Quando un dispositivo contenente un file infetto viene collegato a un computer e il file viene aperto, le macro infette possono essere eseguite.

Quali funzioni malevole sono contenute solitamente nelle macro?

Le macro dei documenti Word possono avviare diverse funzioni malevole. Ecco alcune delle funzionalità malevole più comuni:

Scaricare e installare vari tipi di malware, come ransomware o trojan.
Raccogliere credenziali di accesso, dati finanziari e informazioni personali.
Consentire agli aggressori di controllare il dispositivo infetto a distanza.
Aprire accessi nascosti nel sistema per consentire ingressi futuri.
Usare il dispositivo infetto per inviare spam o diffondere ulteriormente il malware.
Distruggere o alterare file importanti.
Tentare di disattivare antivirus e altre difese del sistema.

Esistono dei servizi di sicurezza che bloccare l’esecuzione delle macro?

Esistono vari servizi di sicurezza e misure che possono aiutare a bloccare o limitare l’esecuzione delle macro in documenti Word e altri file di Office, contribuendo a proteggere contro i macro malware.
Ecco alcune delle soluzioni più comuni:

Microsoft Office Security Settings: la suite stessa offre diverse impostazioni di sicurezza per gestire l’esecuzione delle macro. Ad esempio, è possibile disabilitare tutte le macro con notifica, permettendo agli utenti di scegliere se abilitare o meno le macro per ogni documento.
Molti programmi antivirus e antimalware includono specifiche funzionalità per rilevare e bloccare macro dannose. Questi programmi scansionano i documenti in entrata e possono prevenire l’esecuzione di macro sospette.
Servizi specializzati in sicurezza email possono filtrare e scansionare gli allegati email, bloccando i file potenzialmente dannosi, inclusi quelli con macro infette, prima che raggiungano la casella di posta dell’utente.
Alcune soluzioni di sicurezza informatica consentono l’implementazione di un approccio basato sul whitelisting, dove solo applicazioni e script approvati sono autorizzati a eseguirsi. Questo può efficacemente bloccare l’esecuzione di macro non autorizzate.
Il sandboxing è un servizio di sicurezza necessario per eseguire e testare i documenti in un ambiente sicuro e isolato, prevenendo l’esecuzione di macro malevoli sul sistema principale.

Prevenire le infezioni da Macro malware

Per proteggersi dalle minacce poste da macro infette, gli utenti devono adottare una serie di misure di sicurezza.

Innanzitutto, è fondamentale essere sempre cauti nell’aprire documenti Word ricevuti via email o scaricati da Internet, specialmente da fonti sconosciute o non affidabili. È consigliabile mantenere disabilitate le macro di default e abilitarle solo per documenti di fonti fidate e verificate. Un passo importante è assicurarsi che il proprio software antivirus sia sempre aggiornato, in quanto può rilevare e bloccare molti tentativi di infezione da macro malware.

È utile anche l’educazione e la formazione sulla sicurezza informatica, che può aiutare a riconoscere e-mail di phishing e altri tentativi di inganno. Infine, mantenere aggiornati tutti i software, inclusi il sistema operativo e le applicazioni Office, è cruciale, in quanto le patch di sicurezza possono prevenire molte vulnerabilità sfruttate dai malware.

Autore articolo
Gli ultimi articoli

Arianna Rigoni

Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.