Gli esperti di sicurezza informatica avvertono di un attacco pericoloso e in corso contro gli utenti macOS utilizzando un difetto descritto nell'advisory CVE-2019-1457. I gruppi di hacking stanno abusando di questo difetto per pianificare ed eseguire infezioni complesse. Questo è visto come una delle più pericolose catene di exploit basate su documenti negli ultimi tempi.
Utenti macOS attaccati tramite CVE-2019-1457 Exploit complessi utilizzando documenti con infezione da macro
Gli attacchi ai documenti basati su macro sono uno dei meccanismi popolari ampiamente utilizzati dai criminali informatici su Windows. Anche se la maggior parte di loro utilizza un approccio relativamente semplice incorporando un payload scaricato direttamente nelle macro dei file truffa, esiste ora un metodo molto più complesso che è stato rilevato.
L'avviso CVE-2019-1457 mostra come viene eseguito l'approccio di attacco popolare nella maggior parte dei casi. Si tratta di un bug riscontrato nelle versioni di Microsoft Office, noto in alternativa come Bypass della funzionalità di sicurezza di Microsoft Office Excel — inserendolo nei file di destinazione. Si conferma che funziona con la versione 2016 e 2019 su macOS. Gli hacker creeranno i dati dell'utente target e inseriranno le macro dannose al loro interno. Di solito saranno programmati per includere una sorta di portatore di payload per un determinato malware.
Utilizzando tattiche e macro di hacker avanzate create in questo modo sofisticato, gli analisti hanno scoperto che è possibile abusare del profilo sandbox dell'app di Office che ha la precedenza sulla sicurezza del programma. Di conseguenza, i creatori di malware possono creare un file in qualsiasi punto del file system di destinazione. Di conseguenza, è possibile utilizzare i documenti macro infetti creati in questo modo lanciare complessi malware locali con i passaggi necessari che aggireranno la sicurezza del sistema operativo. Di conseguenza, è possibile eseguire le seguenti azioni durante l'installazione di qualsiasi tipo di payload di malware:
- Bypass delle funzioni di sicurezza — I comandi che possono essere inseriti nel codice ospitato possono essere utilizzati per bypassare le applicazioni e i servizi di sicurezza che possono far parte del sistema operativo. Ciò include i client antivirus, firewall, sistemi di rilevamento delle intrusioni e gli host di macchine virtuali.
- Le modifiche di configurazione del sistema — Il codice del virus può riprogrammare il sistema che può portare a Modifiche ai valori del registro di Windows o modifiche alla configurazione di avvio del sistema. Gli utenti riscontreranno problemi di prestazioni durante l'esecuzione di determinate funzioni, perdita di dati o persino la rimozione di file utente sensibili. In molti casi il payload trasportato può essere configurato in modo da avviarsi automaticamente all'accensione del computer. Potrebbe anche negare l'accesso ad alcune opzioni di recupero.
- Modifiche ai file — In molti casi attraverso questi documenti gli hacker possono programmare il programma Office sottostante per creare nuovi file o modificare i contenuti di quelli esistenti.
Utilizzando questo approccio è possibile distribuire molti dei virus in tutte le categorie popolari. Particolarmente pericolosi sono i Infezioni da client Trojan Horse che vengono utilizzati per assumere il controllo degli host. Sempre più macOS ransomware vengono anche spinti usando questo metodo. Si tratta di virus di crittografia dei file progettati per elaborare i file degli utenti e quindi estorcere alle vittime un pagamento in criptovaluta.