ransomware FAMAC

Ransomware “FAMAC”, dai CV il nuovo virus che spaventa il mondo

FAMAC, il nuovo ransomware – Noi della redazione di VNews24 riceviamo decine di curriculum e candidature spontanee ogni settimana. Dopo aver letto la mail di presentazione analizziamo con attenzione il curriculum allegato per verificare che la persona abbia i requisiti richiesti per le posizioni aperte.

Oggi, tra le tante mail, ne arriva una con oggetto “Candidatura per il posto vacante – Fabiana Masiello” e in allegato un documento word. La provenienza è l’indirizzo masiello.fabiana2018@giftzus.com. La lettera di presentazione recita quanto segue:

Ho notato il vostro annuncio di lavoro sul sito internet dell’ufficio di collocamento.
Grazie alla mia esperienza pluriennale, oltre che alla mia continua e autonoma formazione, sono convinta di essere in grado di soddisfare i requisiti per il stimolante posto di lavoro.
Trovate i miei documenti di candidatura in allegato a questa e-mail.
Il mio obiettivo e di mettere in pratica le conoscenze acquisite in modo redditizio per la vostra azienda e allo stesso tempo di svilupparmi continuamente per essere sempre una dipendente efficiente nella vostra impresa.
Resto a vostra disposizione per ulteriori domande. Sarei felice di potervi convincere della mie capacita in questo ambito e della mia motivazione in un colloquio personale.

Cordiali saluti,
Fabiana Masiello

DA CV A RANSOMWARE

Non è la prima volta che la lettera di presentazione è imprecisa su alcuni dettagli. In questo caso noi non ci serviamo di alcun “ufficio di collocamento” e la grammatica a volte è stentata ma potrebbe non essere importante. Non ci sono riferimenti di recapito nel testo della mail e questo è sospetto. In allegato c’è una foto di una bella ragazza bionda sulla riva di un lago. 

Apriamo il documento word del curriculum per saperne di più e ci troviamo davanti a questa schermata

Ogni volta che qualcuno o qualcosa ci vuole indurre ad un’azione che potenzialmente comporta dei rischi è necessario tenere gli occhi aperti. In questo caso la parte di “Enable Content” comporta l’esecuzione di codice VBA proveniente da fonti sconosciute. Uno si potrà chiedere cosa mai ci può essere dentro un documento word per renderlo malevolo o pericoloso.

CODICE NASCOSTO

Microsoft Word, Excel e PowerPoint permettono di aggiungere codice al documento per integrare applicativi esterni ed estendere le funzionalità base. Questo codice è scritto in un linguaggio che ricorda molto il Visual Basic ed è buona norma fidarsi di un documento con macro solo se siamo ASSOLUTAMENTE sicuri della sua provenienza. Tanto è vero che di default sono disabilitate e, in molte aziende, servono i diritti di amministratore per ripristinare il loro funzionamento.

Vediamo cosa contiene il curriculum della bella Fabiana Masiello:

La macro Document_Open viene eseguita al caricamento del documento ed è indice che qualcosa succede all’apertura del documento. Il codice malevolo che è contenuto in questo documento (che nasconde un ransomware) è pesantemente offuscato per impedire ad un occhio non esperto di visualizzarlo e analizzare il suo comportamento. 

Senza scendere troppo nel tecnico, tramite la chiamata VBA.Shell viene eseguito un comando con gli stessi privilegi dell’utente che ha aperto il documento. Per scoprire il contenuto di questo comando è sufficiente sostituire a VBA.Shell una chiamata a MsgBox che mostra a schermo il contenuto di quella chiamata offuscata.

Ottenuto il comando malevolo e operata una de-offuscazione del contenuto ci troviamo davanti a questo:

In sostanza il documento word contiene uno script PowerShell che scarica dei virus da internet da alcuni url di siti probabilmente infetti o compromessi, li copia nella cartella c:\windows\temp e li esegue. Una veloce analisi del file word.exe su virustotal conferma i nostri sospetti che si tratta di un virus.

REGOLA UNIVERSALE

Ed ecco come un innocente curriculum di una bella bionda diventa la porta per virus, ransomware (come in questo caso), cryptolockers e compagnia. La regola rimane sempre la stessa: mai eseguire macro da documenti word dei quali non si ha assoluta certezza della loro provenienza. In generale diffidare sempre da chi cerca di indurci a compiere una qualsiasi azione.

Ricordiamo che un ransomware come questo è in grado di criptare i dati sensibili del vostro computer e chiederne successivamente un riscatto in denaro.

Questa analisi è stata condotta in collaborazione con il team di Cybersecurity di Digipa srl. Se hai bisogno di consulenza in ambito IT e cybersecurity puoi rivolgerti ad uno dei loro esperti: info@digipa.it