Il malware distribuito usando documenti con macro Word “ostili” data sin dalla nascita delle macro stesse, o quasi. Verrebbe da dire che si tratta di un grande classico, se non fosse che da anni gli esperti di sicurezza indicano che c’è un modo semplicissimo per evitarlo – disabilitare le macro e VBA, Visual Basic of Applications – ma moltissimi utenti continuano a non farlo.
Il problema riguarda anche gli utenti Mac perché le macro sono “universali” e gli hacker ostili hanno studiato vari modi per usarle in modo da scatenare poi malware specifici per piattaforma. In questi giorni i ricercatori dei FortiGuard Labs hanno appunto identificato un nuovo documento con macro Word che circola in Rete ed è capace di infettare sia PC sia Mac.
Tipicamente il documento si riceve via email nell’ambito di una campagna di phishing più o meno mirato. A chi lo apre viene chiesto di attivare le macro Word (cosa che non va fatta) per poterlo usare completamente. Se le macro vengono attivate inizia la fase di infezione.
Il sistema usato è abbastanza ingegnoso. Il codice che serve a infettare il PC o il Mac non è nelle macro vere e proprie ma è codificato (quindi illeggibile per un profano) nel campo dei commenti. La macro Word del documento si limita a prendere il testo di quel campo e decodificarlo (è uno script in Python), identificando poi il sistema operativo del computer su cui si trova.
Nel caso si tratti di macOS lo script Python viene passato all’interprete Python presente in qualsiasi Mac. È uno script che gli esperti di sicurezza hanno già identificato varie volte e che è liberamente disponibile online. Serve a mettere in contatto il Mac colpito con un server remoto dal quale scaricare un malware vero e proprio. Fortunatamente al momento sembra che i server contattati dallo script Python non siano attivi, ma non si può mai dire.
Ovviamente il pericolo per gli utenti italiani è relativo perché difficilmente un Mac-user prudente attiverebbe le macro Word di un documento in inglese ricevuto senza chiederlo esplicitamente. Ma vale sempre la solita raccomandazione: quando qualsiasi documento chiede di attivare le macro, la cosa migliore è non farlo.