Tom's Hardware Italia
Sicurezza

PowerPoint, il malware si installa con un colpo di mouse

La presentazione contiene un semplice link che viene attivato quando ci si passa sopra col mouse. L'attacco non funziona in visualizzazione protetta.

I documenti Office sono uno dei vettori di attacco preferiti dai pirati informatici. Di solito vengono utilizzati inserendo script VBA al loro interno o sfruttando le famigerate Macro, che consentono di avviare l'esecuzione di malware.

Powerpoint Downloader6 1 768x180
Il codice XML della slide contiene il comando che attiva il link nel momento in cui il cursore del mouse passa su di esso

Da quando Microsoft ha disabilitato come opzione predefinita le Macro nei file Office, però, i pirati informatici si sono dovuti ingegnare per trovare tecniche alternative per indurre le potenziali vittime ad attivare le funzioni Macro e aggirare così le protezioni di Office. Ora i cyber-criminali hanno ideato un trucchetto che gli consente di avviare l'installazione di un malware senza che sia necessario attivare le Macro.

La tecnica sfrutta una PowerShell integrata in un collegamento all'interno di una presentazione in PowerPoint, che per giunta non richiede alcun clic per attivarsi: basta infatti che lo sventurato utente faccia passare il cursore del mouse sul collegamento stesso. Per fortuna, Office è impostato per aprire tutti i file che ci arrivano sotto forma di allegati a messaggi di posta elettronica nella cosiddetta Visualizzazione protetta, che in questo caso blocca l'esecuzione della PowerShell e visualizza una finestra di dialogo chiedendo l'autorizzazione per l'esecuzione del comando.

Gli utenti che non hanno modificato le impostazioni di Microsoft Office potranno quindi avere un indizio del fatto che ci sia qualcosa di strano in quel file PowerPoint. Per saperne di più leggi l'articolo completo su Security Info, il sito di Tom's Hardware dedicato alla sicurezza informatica.