Malware per PowerPoint si attiva senza clic

I ricercatori di sicurezza di Trend Micro hanno scoperto un nuovo tipo di attacco informatico che sfrutta uno script PowerShell per installare un malware sul computer, quando l’utente sposta il puntatore del mouse su un link contenuto in una presentazione PowerPoint ricevuta via email. Fortunatamente la Visualizzazione protetta di Microsoft Office riduce enormemente il rischio di infezione.

La diffusione di malware mediante messaggi di spam e tecniche di ingegneria sociale è molto utilizzata dai cybercriminali, ma solitamente lo scopo finale viene ottenuto solo se l’utente clicca ed esegue il file allegato alla email. Un metodo più recente, usato per infettare il computer con un trojan noto come Zusy, OTLARD o Gootkit, prevede invece l’esecuzione di uno script PowerShell nascosto in una presentazione PowerPoint, quando il puntatore del mouse viene spostato sul link presente nella slide. L’oggetto della email (ricevuta, ordine o simile) potrebbe ingannare l’utente che, senza prestare molta attenzione, apre il file contenente il codice infetto.

Al centro della slide c’è solo il link “Loading...Please wait“. È sufficiente spostare il puntatore del mouse sul collegamento per eseguire lo script PowerShell e innescare il download del malware. Le versioni più recenti di Office visualizzano un avviso di sicurezza se la Protected View (Visualizzazione protetta) è attiva. Se la protezione è stata disattivata o se viene cliccato sul pulsante “Attiva” o se l’utente usa ancora una vecchia versione della suite di produttività (precedente ad Office 2010), il trojan viene installato sul computer.

I malintenzionati possono quindi accedere da remoto e rubare tutti dati personali, incluse le credenziali di accesso ai conti bancari. La campagna di spam ha raggiunto il picco a fine maggio e i principali target sono stati gli utenti aziendali dei paesi EMEA.