Diffusione malware BitRAT

E’ stata recentemente rilevata una campagna di diffusione del malware BitRAT avente impatto su utenze italiane.

Il malware in questione viene veicolato tramite email di phishing che hanno in allegato un file di Microsoft Office Word (estensione .docx) denominato “IPTVLink & Info.docx”.

 

Comportamento

Queste mail sono particolarmente insidiose in quanto, con lo scopo di tentare di aggirare le misure di sicurezza di Office che impedirebbero l’esecuzione della macro malevola contenuta nel file .docx, viene chiesto all’utente di abilitare le macro in Office tramite il seguente messaggio:

“This document is protected. […] please hit “Enable Content” on the yellow bar above”. Di seguito un esempio del messaggio:

Indicatori di compromissione

Nel codice della macro malevola contenuta all’interno del documento è presente un puntamento al dominio apobypass[dot]com (precisiamo che con [dot] si intende il punto “.”, secondo la tipica notazione in uso per indicare i domini sospetti o pericolosi).

 

Mitigazione

La prima cosa da fare, in questo caso, è diffidare sempre delle comunicazioni inattese che invitano ad aprire allegati riguardanti, in particolare, fatture, transazioni economiche, verifiche di pagamento o, magari, richieste di versamenti da parte dell’Agenzia delle Entrate.

Quando possibile, inoltre, sarebbe sempre preferibile mantenere disattivate le macro di Office, o almeno impostare la disattivazione con notifica: