Malware dal nome Aggah infetta il PC tramite MS Word

Un nuovo Malware dal nome Aggah che infetta il tuo PC tramite Microsoft Word

Malware dal nome Aggah

Si cari lettori, vi è un Malware dal nome Aggah che infetta il tuo PC tramite un documento di Microsoft Word, ora andremo a vedere come opera e sopratutto come possiamo difenderci ed eliminarlo.

L’ ultima di una serie di attacchi online arriva dal Malware “Aggah”, che ha radici in Medio Oriente.
Il malware dal nome Aggah comprende uno script Trojan di base che viene diffuso tramite un documento di Microsoft Word infetto.
Gli autori del reato stanno inducendo gli utenti a scaricare e attivare il codice malevolo usando RevengeRAT.

Poiché RevengeRat comprende diverse build Trojan open source, è molto difficile individuare lo spammer effettivo.
Le persone coinvolte in questo stanno usando il nome alias “haggah” per eseguire la loro operazione.

Come funziona il Malware ‘Aggah’?

Un attacco del Malware dal nome Aggah consiste in tre passaggi principali.

  • Invia tramite e-mail un documento di Word intitolato ” Activity.doc ” alla destinazione
  • Chiedi agli utenti di abilitare il contenuto, aiutando quindi il doc a eseguire macro
  • Un comando Shell reindirizza l’utente a un sito Blogspot che scarica script dannosi

Il malware Aggah funziona in modo molto discreto e in un gran numero di passaggi avviati da una macro.

Quale debolezza viene sfruttata dal Malware Aggah?

In Microsoft Open Office XML (OOXML), i precedenti documenti in formato (.doc, .ppt) sono stati sostituiti con il nuovo formato basato su XML (.docx, .pptx).

I file OOXML sono costituiti da archivi ZIP, chiamati “Parti”, che sono responsabili del rendering di un documento quando viene aperto.

Il rendering di parti è regolato da “Proprietà” che possono o non possono fare riferimento a risorse pubbliche condivise mediante URL. Questo può essere sfruttato dagli hacker. Ogni volta che un tale documento viene aperto lascia spazio agli hacker per caricare uno script malevolo invece del documento effettivo tramite Template Injection.

Che cos’è un Template Injection ?

Template Injection

Template Injection è il processo di sostituzione del progetto di un documento dal lato server con codice dannoso, da iniettare nel documento di un utente ignaro.

Il malware dal nome Aggah esegue i seguenti passaggi per sfruttare la funzionalità del Template Injection :

  1. L’utente riceve un’e-mail dal titolo “Il tuo account è bloccato” allegata con un documento word ” Activity.doc “. SHA256 del file ‘ Activity.doc 5f762589cdb8955308db4bba140129f172bf2dbc1e979137b6cc7949f7b19e6f
  2. Il documento contiene questa foto che chiede agli utenti di “visualizzare in desktop”, “Abilita modifica” e “Abilita contenuto”
  3. L’abilitazione del contenuto è l’obiettivo finale, quindi recupera e carica un documento OLE da un server remoto, che contiene un RTF (Rich Text Format), utilizzando Template Injection.
  4. L’RTF esegue un foglio Excel contenente una macro fortemente crittografata che carica un URL utilizzando il comando Shell per accedere al kernel del sistema operativo.
  5. Il comando Shell scarica il contenuto dell’URL di un sito Blogspot.
  6. Il lato Blogspot contiene diversi script Java che disattivano Microsoft Defender cambiando la sua firma e disabilitano anche le funzioni di MS Office.
  7. Quindi lo script Jawa modifica i valori del registro delle applicazioni di MS Office in 1.
  8. Dopodiché, lo script disabilita Microsoft ProtectedView.
  9. Lo script utilizza Pastebin per scaricare il codice dannoso ed eseguire i comandi Shell.

Questa campagna malware si rivolge a istituzioni finanziarie, enti governativi, istituti di istruzione, agenzie di marketing, ecc.

La campagna malware di Windows è stata individuata da Cybersecurity Researchers, Unit42, con sede a Palo Alto.

Come Proteggersi da Aggah ?

Il nostro consiglio è quello di non aprire alcun documento simile a quello sopra menzionato. Inoltre, non abilitare il “contenuto” in MS Word e aprire solo documenti sospetti utilizzando Office 365 in quanto non è possibile abilitare i macro.

Gli attacchi di malware hanno visto un aumento significativo negli ultimi anni. 
Dal pirata Game of Thrones ai documenti di Microsoft Word, tutto ciò che ha il potenziale per dirigere un traffico pesante è legato a Malware.

#MAgodelPC

#MAgodelPC
www.magodelpc.cloud
info@magodelpc.cloud

b.pramaggiore

Docente e informatico da oltre vent'anni: Excel, Social Media Marketing. Specializzato in crescita organica gestisco i social e posso esserti di supporto con consulenze mirate allo sviluppo e crescita della tua azienda. Eseguo riparazioni PC, Mac e installazioni periferiche, offro assistenza da remoto e a domicilio. Creo siti Web e gestisco blog, amo la tecnologia, la natura e sono molto curioso.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

%d blogger hanno fatto clic su Mi Piace per questo: