I cyber criminali hanno trovato l'ennesimo trucco per violare le
protezioni di Office. Usano un
allegato malevolo con estensione .SLK che
contiene una macro per scaricare e installare un
trojan di accesso remoto. Così facendo bypassano sia la protezione predefinita di Microsoft 365 (EOP) sia la sicurezza avanzata (ATP).
La campagna di attacco è stata scoperta dagli analisti di sicurezza di Avanan, secondo i quali sarebbero tuttora a rischio 200 milioni di utenti. Il 25 giugno, quando è stato redatto il report, Microsoft 365 era ancora vulnerabile e l'attacco era ancora in corso.
Si tratta di una minaccia molto sofisticata, con diversi metodi di offuscamento progettati per bypassare i sistemi di sicurezza di Microsoft 365. A quanto pare
gli unici ad essere al sicuro sarebbero gli utenti di Gmail, perché Google blocca questa tecnica di attacco nelle email in arrivo e non permette nemmeno di spedire email con il file malevolo allegato.
Il file malevolo
Il "Symbolic Link" (SLK) è un formato di foglio di calcolo basato su testo. È une delle opzioni di salvataggio di Excel alternativo al classico formato XLSX, già oggetto di allarme per
varie campagne di phishing. C'è da dire che è molto raro ricevere file SLK, quindi questo formato dovrebbe insospettire gli utenti.
Nella maggior parte dei casi, infatti, avere un file di questo tipo nella posta in arrivo, indica che probabilmente si è stati presi di mira da un trojan di accesso remoto che bypassa l'Advanced Threat Protection. L'insidia maggiore come spesso accade sta nel
social engineering: le aziende in cui è stato isolato l'attacco hanno notato che quelle pervenute erano email altamente personalizzate sia nel contenuto sia nella scelta del destinatario.
Stando alle informazioni finora
raccolte, l'attacco è stato inviato da centinaia di account Hotmail gratuiti. Lo script della macro include le virgolette ('') per confondere i filtri ATP. L'URL di destinazione è diviso in due parti per fare che i filtri ATP non lo identifichino come un link web. Fra le tecniche di offuscamento c'è anche il funzionamento del server di hosting, che viene attivato tempo dopo l'invio dell'email. In sostanza, al momento del controllo all'interno della sandbox ATP sembra benigno.
Al momento non esiste altra difesa se non quella di configurare gli account di Office 365 in modo da rifiutare i file SLK. Considerato che sono molto rari, questa impostazione non dovrebbe creare problemi nel flusso ordinario di lavoro.