“Fattura 36.xls” oppure “Sollecito di pagamento.doc” sono alcuni esempi degli allegati truffa che regolarmente riceviamo tramite mail. Ma cosa rende pericolosi proprio i file di Office (Word, Excel) ricevuti come allegato?

La risposta è “le macro”. Questo termine, che probabilmente avete sentito nominare più volte dal vostro reparto IT, è la tecnologia con cui Office può automatizzare certe operazioni, solitamente all’apertura dei documenti. Le macro sono nate per aiutare l’utente, non per fare danni: ad esempio per aggiornare i dati di Excel ogni volta che si apre il file, oppure per produrre copie dello stesso documento a partire da un modello. Ma le macro purtroppo possono eseguire qualsiasi tipo di programma, anche dannoso, ed è per questo che sono usate in modo malevolo.

Nelle prime versione di Office nulla impediva l’esecuzione di macro. Poi arrivarono i primi abusi e Microsoft aggiunse un tasto (all’apertura dei documenti) per consentire o meno l’avvio delle macro. Troppo complesso da capire, gli utenti hanno fretta e così di solito tutti premono “YES”.

Con la versione di Office 2007 furono introdotte le nuove estensioni (XLSX per capirci) tramite le quali, un documento contenente macro, deve per forza avere il nome che termina con “M” (XLSM ad esempio). In questo modo si sperava che l’utente facesse ancora più attenzione, l’icona di un XLSM riporta addirittura una “!” per catturare l’attenzione.

Ma per garantire la compatibilità con documenti vecchi, il sistema di Office non è molto sicuro, in un modo o nell’altro le macro riescono a passare, risultando oggi come primo veicolo di cryptovirus.

Su richiesta di un cliente, ho progettato uno script che può mitigare l’esposizione a questo rischio. Tramite MailScanner (un proxy smtp di cui ho parlato precedentemente che può analizzare il contenuto delle mail) eseguo una serie di test per capire se l’allegato contiene macro.

  • Il file è compresso?
  • È un file di Office cui è stata cambiata estensione?
  • È un file diverso che si maschera come file di Office?
  • È criptato?
  • E così via…

In caso il file risulti sospetto viene rimosso dagli allegati prima di essere consegnato all’utente e conservato in quarantena.