Per farlo, i pirati informatici modificano il codice dell’header inserendo dei dati casuali. Quando si tenta di aprirlo, il software Microsoft visualizza un messaggio di errore e apre una finestra con il messaggio “Recuperare il contenuto del contratto?”. Ed è qui la chiave del trucco usato dai pirati. L’errore nel codice è infatti talmente banale da consentire a Word di correggerlo facilmente, recuperando il contenuto.
Quello che l’ignara vittima si trova davanti, però, è un contratto in cui campeggia un QR code accompagnato da un messaggio che invita a inquadrarlo per poter visualizzare il contenuto recuperato. Il collegamento inserito nel QR code porta a una pagina di phishing gestita dagli stessi cyber criminali, in cui viene chiesto di inserire le credenziali di accesso al proprio account Microsoft365.
Invisibile per gli antivirus
Il trucco utilizzato dai cyber criminali ha un duplice effetto. Da un lato crea una “catena di eventi” abbastanza credibile per trarre in inganno la potenziale vittima. La richiesta delle credenziali Microsoft per accedere a contenuti della propria azienda è infatti una procedura abbastanza comune e tutti gli utenti si sono abituati rapidamente al fatto di dover eseguire il login ogni volta che utilizzano risorse online. In questo caso, quella che dovrebbe essere una procedura per garantire la sicurezza dei sistemi si trasforma in un vero boomerang.
Non solo: l’uso del QR code, nell’ottica degli autori dell’attacco, consente di superare un altro “ostacolo” comune negli attacchi di phishing. La maggior parte degli utenti, quando apre un link tramite QR code, non fa eccesso caso all’indirizzo web che sta aprendo. Cosa che, invece, succede invariabilmente quando si deve fare clic sul collegamento tramite PC.
Il secondo vantaggio che offre questa tecnica di attacco è che gli antivirus non sono in grado di individuare il link malevolo. Se Word è in grado di recuperare il contenuto del file, infatti, lo stesso non si può dire per i software di sicurezza. Secondo i ricercatori di Any.Run, l’analisi attraverso Virus Total (il sito che consente di eseguire la scansione di un file utilizzando tutti i motori antivirus commerciali disponibili – ndr) ha dato risultati sconsolanti: nella maggior parte dei casi i file vengono considerati innocui, mentre solo alcuni documenti vengono etichettati come pericolosi. Anche in questo caso, però, a individuare il collegamento sono solo 2 antivirus su 62.
Leggi tutto su www.wired.it
di Marco Schiaffino www.wired.it 2024-12-04 05:30:00 ,
