Sfruttando una tecnica primitiva di Windows basata su macro in esecuzione automatica incorporate nei documenti di Microsoft Word, recentemente è stato scoperto un nuovo tipo di attacco di malware per Mac. Come notato per la prima volta in una ricerca compilata da Objective-See, la tecnica utilizzata potrebbe essere rozza ma una volta che un utente ignaro apre un documento Word infetto e sceglie di eseguire le macro, il malware si installa silenziosamente sul Mac di destinazione e tenta immediatamente di scaricare un carico utile pericoloso.
L'attacco è stato scoperto per la prima volta in un file Word intitolato "U.S. Allies and Rivals Digest Trump's Victory - Carnegie Endowment for International Peace. ”
Dopo aver aperto un documento infetto in Word per Mac e aver fatto clic Abilita macro nella finestra di dialogo, la macro incorporata esegue le seguenti operazioni:
- Verifica che il firewall di sicurezza LittleSnitch non sia in esecuzione.
- Scarica un payload crittografato di secondo livello.
- Decodifica il payload utilizzando una chiave codificata.
- Esegue il payload.
Una volta installato, il payload potrebbe potenzialmente registrare le sequenze di tasti, monitorare la videocamera e gli appunti di sistema, acquisire schermate, accedere a iMessage, recuperare la cronologia di navigazione e altro ancora. Inoltre, si esegue automaticamente dopo un riavvio.
Per fortuna, il file di payload remoto è stato rimosso dal server.
Sebbene pericoloso, questa non è una forma di attacco particolarmente avanzata.
Puoi proteggerti da questo tipo di attacchi assicurandoti di fare clic Disabilita le macro quando si apre un documento Word sospetto. Vista la prevalenza di malware basati su macro su Windows, non c'è da stupirsi che Microsoft abbia incluso un chiaro avvertimento sui virus nella finestra di dialogo di Word.
Fonte: Objective-See via Ars Technica
