Macro virus in informatica, tutto quello che devi sapere

In questa era digitale, è abbastanza facile essere infettati da virus o malware se non presti attenzione. Alcuni malware come Ransomware, Spyware sono troppo pericolosi e possono creare scompiglio alla tua attività. Tuttavia, ce ne sono alcuni che non sono così pericolosi ma possono entrare di nascosto nel tuo sistema, causare problemi al tuo dispositivo e disturbare il tuo flusso di lavoro. Uno di questi tipi di malware è il virus macro.

Prende tale nome dal momento che sono codificati nello stesso linguaggio macro del programma che infettano. Microsoft Excel e Microsoft Word, come ci si potrebbe aspettare, sono le app più tipicamente colpite da questi attacchi.

Quest’articolo spiega come funzionano virus macro nel contesto di file Word e fornisce esempi da circostanze di vita reale. Quindi, esamineremo come prevenire e rimuovere le infezioni di virus macro Word.

1. Virus macro, cosa sono?

2. File vettori di macrovirus

3. Come si diffonde un virus macro

4. Come opera un macrovirus

5. ILoveYou, il caso del più celebre macro virus

6. Sintomi di un attacco di virus macro

7. Come rimuovere i virus macro

8. Difendersi dai macro virus

Innanzitutto, al fine di comprendere appieno il concetto di virus macro, è importante ricordare cos’è una macro.

Una macro è un piccolo programma che consente di automatizzare particolari procedure in un applicativo software.
In Microsoft Word, ad esempio, è possibile creare una macro per formattare automaticamente il testo.

Le macro risultano essere molto utili se impiegate in modo appropriato, ma possono anche essere estremamente dannose se utilizzate per generare malware.
I virus macro si infiltrano nel tuo computer nascondendosi in file normali come documenti Word. Il virus verrà eseguito e infetterà il tuo computer quando aprirai il file infetto. Quindi si replicano alterando i comandi macro nei documenti di Microsoft Office per indurli a compiere azioni dannose come l’invio di e-mail ai contatti per tuo conto.

Infine, sappiate che i virus macro possono replicarsi e infettare altri computer.

Un virus macro è una tipologia di malware che si cela macro all’interno di un file di Microsoft Office. I documenti che possono contenere virus macro possono essere:

1. Una presentazione PowerPoint

2. Un file di testo Word

3. una cartella di lavoro Excel o un modello

4. un controllo ActiveX

5. componente aggiuntivo COM

6. un componente aggiuntivo Office.

Le tecniche dell’ingegneria sociale, gli allegati e-mail e i download di malware sono i modi più frequenti con cui si trasmettono le infezioni da macro.

Utilizzando l’ingegneria sociale

Le tattiche d’ingegneria sociale possono essere utilizzate anche per diffondere i virus word macro.
L’ingegneria sociale rientra tra le attività di hacking in cui l’attaccante utilizza diverse tecniche per indurre le persone a rivelare informazioni sensibili come password o numeri di carte di credito. Le e-mail di phishing, ad esempio, sono comunicazioni e-mail che cercano d’indurre l’utente a fare clic su un collegamento o ad aprire un allegato contenente un virus.

Tramite allegato e-mail

La forma più tipica di propagazione dei virus excel macro è tramite un allegato di un’e-mail.
I file infetti da virus macro sembrano essere documenti convenzionali, ma includono pericolose macro che potrebbero danneggiare il tuo sistema o utilizzarlo come piattaforma per l’ulteriore propagazione del virus.

Download di malware

I virus delle macro possono anche propagarsi tramite download di malware, ovvero quando scarichi e installi inconsapevolmente software dannoso sul tuo computer. I siti web dannosi utilizzano tattiche d’ingegneria sociale come finestre popup per indurre le persone a visitarli o a fare clic su collegamenti che li reindirizzano automaticamente lì.

Quando visiti uno di questi siti, scaricherà un file eseguibile sul PC senza informarti della sua natura dannosa. Questo perché una volta installato, questo tipo di software si nasconde spesso alla vista dell’utente per continuare a funzionare inosservato il più a lungo possibile in modo che possa causare maggiori danni prima di essere rilevato e rimosso da un dispositivo. Tali applicazioni possono includere non solo virus delle macro, ma anche altri tipi di virus e malware, il che li rende notevolmente più letali.

Di seguito le diversi fasi di un attacco di un virus macro:

• Il virus esamina il computer alla ricerca di file di Microsoft Office (Word, Excel, PowerPoint e così via) prima di utilizzare le macro per riprodursi in altri documenti del sistema.
• Il virus regola anche il livello di sicurezza delle macro per impedire che le macro vengano disabilitate, consentendogli di agire in sordina. Questo viene fatto in modo che se gli utenti scoprono una qualsiasi delle macro, non saranno in grado di disabilitarle senza contattare un amministratore o il supporto tecnico.
• Una volta completata questa fase, il virus macro inizia a inviare e-mail di spam con documenti infetti come allegati che trasportano payload pericolosi come ransomware o trojan.
• Quando un utente apre un documento infetto, le macro iniziano a essere eseguite e infettano il PC dell’utente con malware.

Il virus informatico I Love You fu protagonista della più famosa campagna macrovirus della storia.

L’infezione malware fa il suo esordio nel 2000: progettata  in Visual Basic Script.

I Love you virus miete diverse migliaia di vittime poiché si propagava via e-mail sotto forma di allegato. Lo scopo del procedimento di installazione del malware verteva proprio sull’attivazione del codice dannoso ogni avvio di sistema e la capacità di individuare la directory di default per lo scaricamento dei file da internet.

• File di Word o Excel si aprono senza autorizzazione

  ovvero quando premi il pulsante “Apri”, un file su cui non hai davvero fatto clic si apre. Questo perché le macro sono state create per aprire questi file automaticamente usando pulsanti nascosti o scorciatoie da tastiera.

• Alcuni popup che ti informano che i tuoi dati sono stati danneggiati

  e devono essere riparati immediatamente facendo clic sul pulsante ripara situato sotto questo messaggio (che potrebbe portare al download di malware invece). Anche questi errori sono fasulli e hanno lo scopo di indurti con l’inganno a installare software malevoli.

• Un avviso di errore

che indica che le macro sono disabilitate per impostazione predefinita e che devi attivarle. Questo è un altro approccio social engineering utilizzato per indurre gli utenti meno tecnici ad attivare le macro, che garantiscono ai cybercriminali l’accesso completo al sistema.

La premessa che anticipa questo paragrafo è fondamentale per qualsiasi azienda, ente o studio di professionisti si ritrovi ad affrontare l’infezione malware di un macrovirus.

Per rimuovere queste infezioni, è sempre consigliabile affidarsi ad una società di professionisti di sicurezza informatica in grado di fornire strumenti specifici di rilevamento e rimozione dei virus macro.

Inoltre, è consigliabile effettuare scansioni regolari tramite antivirus per pulire i documenti infettati e assicurarsi che non vengano scaricati nuovi virus informatici.

Tuttavia, esiste un procedimento che può essere intrapreso dal tecnico informatico dell’azienda per verificare la presenza di macro virus all’interno di un dispositivo e prevede 4 fasi:

1. Avviare il computer in modalità provvisoria
2. Eliminare i file temporanei
3. Disinstallare le applicazioni sospette
4. Ripristina le impostazioni del browser Web

Seguire le buone pratiche di sicurezza è l’approccio migliore per evitare un attacco di virus macro.

• In primo luogo, mantenere aggiornati il sistema e il software antivirus installato.
  La maggior parte dei produttori di antivirus fornisce aggiornamenti giornalieri per le nuove minacce, quindi assicuratevi di installare tutte queste patch per ottenere la migliore protezione contro virus e malware.

• Se possibile, disabilitare le macro in Microsoft Word e altri prodotti Microsoft, poiché costituiscono un rischio significativo per la sicurezza.
  Quando le macro sono disattivate (impostazione predefinita), nessun codice verrà eseguito senza la tua autorizzazione o la tua conoscenza. Ciò può essere ottenuto accedendo alla sezione “Preferenze” di ciascun programma, che ti informerà quali impostazioni devono essere abilitate o disattivate affinché questa funzionalità funzioni correttamente.

• Non aprire mai allegati e-mail di mittenti sconosciuti, anche se hanno estensioni di file valide come .PDF, .DOCX e così via.
  Come abbiamo potuto vedere, i virus macro possono essere molto pericolosi e la loro facile diffusione li rende uno tra strumenti disponibili più efficaci per seminare problemi.