Malware dal nome Aggah infetta il PC tramite MS Word

Un nuovo Malware dal nome Aggah che infetta il tuo PC tramite Microsoft Word

Malware dal nome Aggah

Si cari lettori, vi è un Malware dal nome Aggah che infetta il tuo PC tramite un documento di Microsoft Word, ora andremo a vedere come opera e sopratutto come possiamo difenderci ed eliminarlo.

L’ ultima di una serie di attacchi online arriva dal Malware “Aggah”, che ha radici in Medio Oriente.
Il malware dal nome Aggah comprende uno script Trojan di base che viene diffuso tramite un documento di Microsoft Word infetto.
Gli autori del reato stanno inducendo gli utenti a scaricare e attivare il codice malevolo usando RevengeRAT.

Poiché RevengeRat comprende diverse build Trojan open source, è molto difficile individuare lo spammer effettivo.
Le persone coinvolte in questo stanno usando il nome alias “haggah” per eseguire la loro operazione.

Come funziona il Malware ‘Aggah’?

Un attacco del Malware dal nome Aggah consiste in tre passaggi principali.

  • Invia tramite e-mail un documento di Word intitolato ” Activity.doc ” alla destinazione
  • Chiedi agli utenti di abilitare il contenuto, aiutando quindi il doc a eseguire macro
  • Un comando Shell reindirizza l’utente a un sito Blogspot che scarica script dannosi

Il malware Aggah funziona in modo molto discreto e in un gran numero di passaggi avviati da una macro.

Quale debolezza viene sfruttata dal Malware Aggah?

In Microsoft Open Office XML (OOXML), i precedenti documenti in formato (.doc, .ppt) sono stati sostituiti con il nuovo formato basato su XML (.docx, .pptx).

I file OOXML sono costituiti da archivi ZIP, chiamati “Parti”, che sono responsabili del rendering di un documento quando viene aperto.

Il rendering di parti è regolato da “Proprietà” che possono o non possono fare riferimento a risorse pubbliche condivise mediante URL. Questo può essere sfruttato dagli hacker. Ogni volta che un tale documento viene aperto lascia spazio agli hacker per caricare uno script malevolo invece del documento effettivo tramite Template Injection.

Che cos’è un Template Injection ?

Template Injection

Template Injection è il processo di sostituzione del progetto di un documento dal lato server con codice dannoso, da iniettare nel documento di un utente ignaro.

Il malware dal nome Aggah esegue i seguenti passaggi per sfruttare la funzionalità del Template Injection :

  1. L’utente riceve un’e-mail dal titolo “Il tuo account è bloccato” allegata con un documento word ” Activity.doc “. SHA256 del file ‘ Activity.doc 5f762589cdb8955308db4bba140129f172bf2dbc1e979137b6cc7949f7b19e6f
  2. Il documento contiene questa foto che chiede agli utenti di “visualizzare in desktop”, “Abilita modifica” e “Abilita contenuto”
  3. L’abilitazione del contenuto è l’obiettivo finale, quindi recupera e carica un documento OLE da un server remoto, che contiene un RTF (Rich Text Format), utilizzando Template Injection.
  4. L’RTF esegue un foglio Excel contenente una macro fortemente crittografata che carica un URL utilizzando il comando Shell per accedere al kernel del sistema operativo.
  5. Il comando Shell scarica il contenuto dell’URL di un sito Blogspot.
  6. Il lato Blogspot contiene diversi script Java che disattivano Microsoft Defender cambiando la sua firma e disabilitano anche le funzioni di MS Office.
  7. Quindi lo script Jawa modifica i valori del registro delle applicazioni di MS Office in 1.
  8. Dopodiché, lo script disabilita Microsoft ProtectedView.
  9. Lo script utilizza Pastebin per scaricare il codice dannoso ed eseguire i comandi Shell.

Questa campagna malware si rivolge a istituzioni finanziarie, enti governativi, istituti di istruzione, agenzie di marketing, ecc.

La campagna malware di Windows è stata individuata da Cybersecurity Researchers, Unit42, con sede a Palo Alto.

Come Proteggersi da Aggah ?

Il nostro consiglio è quello di non aprire alcun documento simile a quello sopra menzionato. Inoltre, non abilitare il “contenuto” in MS Word e aprire solo documenti sospetti utilizzando Office 365 in quanto non è possibile abilitare i macro.

Gli attacchi di malware hanno visto un aumento significativo negli ultimi anni. 
Dal pirata Game of Thrones ai documenti di Microsoft Word, tutto ciò che ha il potenziale per dirigere un traffico pesante è legato a Malware.

Se ti può interessare puoi anche ottenere Gratis l’Ebook Facebook Marketing per tutti 
Se ti può interessare puoi ottenere Gratis l’Ebook Digital Marketing
Se ti può interessare puoi ottenere Gratis l’Ebook Il CV Perfetto 
Se ti può interessare puoi ottenere Gratis l’Ebook Content Marketing 

Vi ricordiamo che nel nostro sito troverete molte altre Risorse Gratuite

Se vuoi rimanere sempre aggiornato puoi seguirci su Facebook .
Al prossimo articolo.
Saluti dal #MAgodelPC

#MAgodelPC

#MAgodelPC
www.magodelpc.cloud
info@magodelpc.cloud

Rispondi

%d blogger hanno fatto clic su Mi Piace per questo: