Prudenza e buon senso potrebbero non bastare più di fronte alle insidie dei malware, e più precisamente di quelli veicolati da messaggi di spam. Un nuovo caso di trojan bancario veicolato da una presentazione di PowerPoint si distingue dalla massa delle operazioni cybercriminali per un non piccolo dettaglio: l'infezione può installarsi anche senza che l'utente faccia nulla, o quasi. Osservata e descritta sia da Trend Micro sia le meno note società di sicurezza Dodge This Security e SentinelOne, questa operazione di spam è mirata al furto di credenziali bancare e/o di carta di credito e utilizza una variante di un trojan già noto e in circolazione fin dal 2012, Zusy.

 

I messaggi di posta si presentano come apparenti comunicazioni di servizio legate a ordini o acquisti e includono una presentazione PowerPoint allegata. In essa è contenuto un singolo hyperlink, ben in evidenza sotto la scritta “Loading... please wait” e in cui è incorporato uno script PowerShell. Fin qui nulla di nuovo, se non fosse per il fatto che per l'esecuzione dello script, e quindi per l'installazione del trojan, non è necessario che si clicchi sul collegamento. Il semplice passaggio del puntatore del mouse sopra il link è sufficiente per innescare il meccanismo.

 

 

(fonte: Trend Micro)

 

 

Una volta scaricato, il trojan può sottrarre credenziali e, quindi, procedere con operazioni di furto di denaro. A differenza di quanto accade solitamente con trojan bancari, ransomware o attacchi mirati, in questo caso il documento infetto non utilizza né le macro, né Javascript né Visual Basic for Applications come metodo di exploit. Per chi abbia installata la versione più recente di Microsoft Office il rischio è tuttavia limitato, perché in caso di passaggio del mouse sul link infetto una finestra di dialogo si apre e richiede l'approvazione al download.

 

È bene comunque tenere gli occhi aperti, specialmente se si risiede in Europa e se si possiede un indirizzo aziendale. In base ai controlli di Trend Micro, questa campagna di spam risulta essere particolarmente presente in Regno Unito, Paesi Bassi, Svezia e Polonia e nei settori manifatturiero, scolastico, logistica e produzione di fuochi d'artificio.