I criminali informatici innovano costantemente i loro metodi, e l’ultimo allarme riguarda l’uso di file Word danneggiati per rubare credenziali. Questo attacco sfrutta una funzione di recupero di Microsoft Word per ingannare gli utenti, eludendo i sistemi di sicurezza più avanzati.
Di seguito esploreremo i dettagli tecnici di questo attacco, come funziona e le contromisure essenziali per proteggersi. Ogni capitolo include un’immagine esplicativa e tabelle per una comprensione completa.
Nuovo allarme phishing: il contesto dell’attacco
Le campagne di phishing stanno evolvendo verso metodi più sofisticati. In questa nuova modalità, i criminali utilizzano documenti Word apparentemente innocui ma deliberatamente danneggiati. Quando l’utente tenta di aprirli, Word offre un’opzione di recupero che, una volta utilizzata, rivela un QR code. Questo codice reindirizza a un sito falso progettato per rubare credenziali di login.
Come funzionano i file Word danneggiati
L’attacco sfrutta l’incapacità degli antivirus di rilevare minacce prive di codice eseguibile. I documenti, se scansionati, risultano puliti. Tuttavia, il recupero del contenuto attiva un messaggio ingannevole con un QR code.
| Caratteristica | Descrizione |
|---|---|
| Formato file | .docx o .docx.bin |
| Tasso rilevamento | Molto basso (<10% su VirusTotal) |
| Strumento di attivazione | Recupero file danneggiati in Microsoft Word |
| Payload finale | Reindirizzamento a siti di phishing tramite QR |
Target e modalità di distribuzione
Questi attacchi mirano principalmente a dipendenti aziendali tramite email con temi ingannevoli. Ecco alcuni esempi di nomi di file utilizzati:
Annual_Benefits_&_Bonus_for_[name].docxDue_&_Payment_for_[name].docx.bin
Analisi del contenuto dei file:
Una stringa codificata in Base64 (##TEXTNUMRANDOM45##) funge da identificativo univoco per personalizzare l’attacco.
Impatto sul rilevamento e sulla sicurezza
Molti antivirus non identificano questi file come pericolosi, poiché non contengono codice eseguibile diretto. Questo rende difficile il rilevamento da parte di soluzioni tradizionali.
Di seguito i risultati di un’analisi VirusTotal:
| Antivirus | Risultato |
|---|---|
| AV1 | Pulito |
| AV2 | Pulito |
| AV3 | QR code rilevato |
| AV4 | Pulito |
Come proteggersi da questi attacchi
La protezione contro queste minacce richiede una combinazione di tecnologie e consapevolezza dell’utente. Regole fondamentali per la sicurezza:
- Non aprire allegati da mittenti sconosciuti.
- Verificare sempre la legittimità delle email ricevute.
- Utilizzare strumenti di rilevamento avanzati per QR code.
- Informare regolarmente i dipendenti sui nuovi tipi di attacco.
Conclusioni: una sfida in continua evoluzione
Questo attacco dimostra come i cybercriminali si adattino rapidamente per aggirare i sistemi di sicurezza. La combinazione di innovazione tecnica e formazione continua rappresenta l’unica strategia efficace per ridurre al minimo i rischi.
Nota Bene
In qualità di affiliati Amazon, riceviamo un guadagno dagli acquisti idonei effettuati tramite i link presenti sul nostro sito.
