Decine di aziende manifatturiere italiane sarebbero vittime di una serie di attacchi hacker. Essi starebbero infettando i sistemi informatici con finti documenti Microsoft Office e Excel tramite una botnet chiamata Dridex. È quanto sostiene l’azienda di sicurezza informatica Yoroi. In una nota spiega come questi strumenti stanno diventando quelli di diffusione preferiti da molti criminali informatici per inoculare malware nelle aziende.
Per Yoroi questa è: “una tecnica estremamente flessibile e abusata sia da attori opportunisti che dalle Apt, le così dette ‘minacce avanzate persistenti’. Esse fanno capo a gruppi criminali ben finanziati e organizzati e spesso supportati da governi canaglia“. Aggiunge che: “Questo metodo di sfruttamento di Microsoft Office viene silenziosamente abusato in molte ondate di attacchi in tutto il mondo, ma recentemente questa tecnica emergente è stata usata per colpire le aziende manifatturiere italiane“.
LA TECNICA NELLO SPECIFICO
L’azienda ha monitorato con attenzione le ondate di attacchi che adottano una nuova tecnica. Sono librerie binarie caricate direttamente da Microsoft Excel con un solo click. Questa tecnica di diffusione emergente sfrutta i file xll, un particolare tipo di file contenente un’applicazione Microsoft Excel pronta per essere caricata.
Il Cert di Yoroi afferma proprio che: “Questo metodo di sfruttamento di Microsoft Office viene silenziosamente abusato in molte ondate di attacchi in tutto il mondo, ma recentemente questa tecnica emergente è stata usata per colpire le aziende manifatturiere italiane“. L’azienda informatica aggiunge una nota importante: “La pericolosa tecnica risulta attualmente utilizzata dalla botnet criminale Dridex nel corso di attacchi su larga scala, indice di una potenziale esplosione di questa tecnica di attacco nel corso dei prossimi mesi del 2022.
Dridex è uno dei malware bancari più’ pericolosi e resistenti al mondo e dal 2010 sfrutta le macro di Word e Excel. La sua botnet, cioè la rete di computer zombie che utilizza per diffondere il suo carico malevolo, è tra le più estese tra quelle conosciute. Gli attacchi provenienti da questa botnet possono portare a una infezione ransomware di tipo double-extortion come è già accaduto in aprile ai danni di molti comuni italiani del Nord-Ovest“.