Malware “Microsoft Word Intruder” usa la vulnerabilità di Microsoft Word

Sophos presenta l’analisi svolta dal ricercatore capo di SophosLabs Ungheria, Gabor Szappanos, che svela tutti i segreti del kit di creazione di Microsoft Word Intruder, un malware che genera documenti in Rich Text Format (RTF) maligni che sfruttano le vulnerabilità di Microsoft Word.

Ciò che rende particolarmente pericoloso questo malware è il fatto che i creatori lo rendono disponibile su misura a seconda delle specifiche esigenze di attacco, semplificando l’esecuzione remota del codice (Remote Code Execution – RCE) e agevolando la diffusione del virus. Così, spiega Szappanos nel suo report, non è più necessario essere degli hacker: in cambio di una modica cifra, è possibile avere il proprio malware impacchettato in un documento Word personalizzato e pieno di trappole. Tutto quello che resta da fare è cliccare il pulsante invio sulla mail.

Objekt, l’operatore russo di MWI, dà la possibilità di spedire ogni sorta di malware si desideri, a patto che si accetti di non abusare dello spamming e di non attirare troppe attenzioni su di sé. Szappanos ha scoperto che il servizio di MWI ha aiutato decine di gruppi hacker a spedire centinaia di diversi modelli di malware che includono la stragrande maggioranza di quelli esistenti. Il tutto senza attirare l’attenzione.

“Anche se MWI kit è indirizzato a target precisi – conclude l’esperto di Sophos –  che sono solitamente associati a intrusioni di organi pubblici o ad altre forme di sorveglianza, sembra che i suoi principali acquirenti siano cybercriminali che cercano di ottenere denaro con campagne malware più sottili e meno ovvie. Sembra che alcuni gruppi hacker stiano imparando che meno lavoro può davvero significare più soldi”.

La versione completa del  “Microsoft Word Intruder Revealed” è disponibile su nakedsecurity.sophos.com. Ricordiamoci che i prodotti Sophos individuano e bloccano i file generati da MWI sotto una varietà di nomi a seconda di quali exploit sono contenuti nel file.