State molto attenti a questo allegato Excel: è un virus pericolosissimo
Basta aprire un file Excel per consegnare le chiavi del proprio computer agli Hacker, con tutti i dati dentro compresi quelli per accedere ai social e ai conti correnti online
Dai ricercatori della società di cybersicurezza Fortinet arriva l’ennesimo allarme malware per gli utenti Windows: sta circolando una nuova versione del trojan Remcos e l’infezione parte da un’email contenente in allegato un file Excel. Se l’utente scarica e apre quel file, allora parte un’infezione dalla quale è molto difficile difendersi perchè la nuova versione del virus è estremamente evoluta e raffinata.
Remcos, a dirla tutta, non è però un virus vero e proprio: è un RAT, ma con questa sigla non dobbiamo intendere il solito “Remote Access Trojan” bensì “Remote Administration Tool“. Remcos, in pratica, è un software commerciale del tutto legittimo, sviluppato da una compagnia di cybersicurezza, che serve per amministrare i computer di una rete da remoto ma viene modificato e usato anche per scopi illegittimi. In questo articolo, quindi, non ci riferiremo al Remcos “legittimo“, ma a quello usato dai criminali.
Remcos: come funziona l’infezione
L’infezione di Remcos inizia con una email di phishing, apparentemente inviata da un’azienda che manda, in allegato, una fattura in formato Excel. Come quasi tutti i prodotti della suite Microsoft Office, anche Excel offre agli utenti la possibilità di inserire nel file del codice per eseguire uno o più script di comandi e, molto spesso, questa possibilità viene sfruttata dagli hacker per violare i computer delle vittime.
Se l’allegato dell’email viene aperto su un computer Windows, quindi, vengono lanciati in serie diversi script criptati, quindi con codice offuscato. Ciò rende impossibile, per la maggior parte degli antivirus, intercettare il pericolo quando scansionano il file.
Gli script criptati eseguono una lunga serie di comandi studiati per sfruttare una vecchia vulnerabilità di Microsoft Office, molto grave, denominata CVE-2017-0199. Se tutti i comandi vanno a segno, quindi, Remcos riesce a insinuarsi nel computer e a metterlo a disposizione di un hacker, che può adesso controllare a distanza il dispositivo.
In casi del genere gli hacker possono successivamente installare altri virus, spiare il computer in cerca di password e dati d’accesso ai conti correnti, prendere possesso degli account social e molto, molto altro.
Come proteggersi da Remcos
I metodi per difendersi da Remcos sono principalmente due: gli aggiornamenti e la prudenza. La vulnerabilità CVE-2017-0199, come dice il nome stesso, è stata scoperta nel 2017 ed è già stata risolta da Microsoft con diversi aggiornamenti software. Chi ha installato sul proprio computer Excel, ma lo aggiorna regolarmente, in teoria è dunque protetto dal rischio Remcos.
La prudenza, invece, non è mai troppa e non possiamo che ribadire quanto già consigliato decine di volte: non scaricate mai allegati email se non siete più che sicuri di chi sia il mittente e del fatto che effettivamente quel mittente vi debba inviare un file.
Se l’utente non scarica e non apre il file allegato all’email di phishing, infatti, non rischia assolutamente nulla.