Ne avevamo parlato la settimana scorsa (Scoperto attacco verso Office senza l’uso di macro) e i ricercatori di diversi laboratori di sicurezza hanno individuato multiple campagne di diffusione malware e ransomware sfruttando la vulnerabilità DDE.
I ricercatori della SANS ISC hanno individuato una campagna phishing veicolata tramite una rete botnet – la quale è la Necurs Botnet, che controlla circa 6 milioni di elaboratori – che sfrutta la vulnerabilità DDE di Microsoft Word per installare il ransomware Locky.
Di seguito uno screenshot di una mail incriminata (fonte: Necurs Botnet malspam pushes Locky using DDE attack)
Gli stessi ricercatori hanno individuato un altra campagna similare usata per veicolare il malware Hancitor, dedito al malware banking, furto di dati e con funzionalità di ransomware. Anche questo veicolato tramite campagne phishing sfruttando la vulnerabilità DDE.
Come stare al sicuro?
Visto che la funzionalità DDE è legittima e Microsoft non rilascerà patch correttive, è possibile restare al sicuro disabilitando questa voce:
Raggiungibile da File > Opzioni > impostazioni avanzate > Generale > disattivare la voce Aggiorna collegamenti automatici all’apertura
ps. non capisci qualche termine? Leggi il nostro glossario!
Approfondimenti:
Hancitor malspam uses DDE attack; Necurs Botnet malspam pushes Locky using DDE attack