FormBook ora si nasconde nelle macro Office: aziende italiane nel mirino

Una nuova campagna malware sta prendendo di mira aziende italiane coinvolte in gare d’appalto e progetti strategici, sfruttando documenti Office con macro malevole per diffondere FormBook, uno dei più noti infostealer in circolazione.

L’allarme arriva dal CERT-AgID, che ha pubblicato un’analisi dettagliata sul proprio sito ufficiale: “Nonostante Microsoft abbia introdotto importanti misure di sicurezza per evitare l’abuso delle macro nei documenti Office, come ad esempio il blocco di default nei file scaricati da Internet tramite il Mark of the Web, l’uso di questa tecnologia rimane ancora oggi uno strumento efficace per gli attaccanti”, spiegano gli analisti, specificando altresì che sebbene siano meno utilizzate rispetto al passato, le macro continuano a costituire una minaccia reale, soprattutto per via dell’ampia diffusione di MS Office, spesso non aggiornato, e della vulnerabilità legata all’errore umano.

FormBook: target mirati e ingegneria sociale sofisticata

La campagna si distingue per l’elevato livello di contestualizzazione e credibilità.

Le e-mail di phishing simulano comunicazioni ufficiali da parte di una nota azienda del settore energetico, allegando file PDF che contengono link a documenti protetti da password.

Questi documenti, ospitati su piattaforme di file sharing, una volta scaricati, contengono file Office con macro che attivano il download del malware.

Il messaggio è scritto per apparire autentico, sfruttando la fiducia e le dinamiche tipiche aziendali. L’obiettivo è indurre il destinatario ad aprire il file e abilitare le macro, bypassando così le protezioni standard.

Il malware FormBook, lo ricordiamo, è un infostealer noto per la sua capacità di:

1. rubare credenziali memorizzate nella cache dei browser web;
2. registrare le sequenze da tastiera (keylogging);
3. catturare screenshot;
4. intercettare dati da moduli web;
5. capacità di scaricare ed eseguire ulteriori payload (downloader).

La sua diffusione è favorita da campagne mirate e da un’infrastruttura flessibile che consente agli attaccanti di adattare il payload ad ogni esigenza.

Possibili mitigazioni di FormBook

Per proteggersi da questa minaccia, si raccomanda di:

1. bloccare l’esecuzione delle macro nei documenti Office;
2. aggiornare costantemente software e antivirus;
3. formare il personale sull’identificazione di e-mail sospette e tecniche di ingegneria sociale;
4. monitorare gli Indicatori di Compromissione (IoC) pubblicati dal CERT-AgID.

Perché si può parlare di spionaggio industriale

Le caratteristiche della campagna descritta dal CERT-AgID potrebbero far pensare non solo a un attacco generico di tipo opportunistico, ma anche ad una manovra di cyber intelligence più mirata con finalità di spionaggio industriale.

Alcuni degli elementi indiziari che farebbero infatti propendere verso questa ipotesi sono:

1. Il target selettivo: le aziende prese di mira operano in contesti strategici (gare d’appalto, progetti riservati, iniziative commerciali) e potrebbero detenere informazioni sensibili.
2. Il social engineering avanzato: i messaggi sono costruiti ad arte per simulare comunicazioni credibili, segno di uno studio approfondito del contesto aziendale.
3. Il tipo di malware: FormBook è un noto infostealer.
4. Il timing e la strategia: l’invio dei documenti malevoli avviene in momenti critici (avvio di una gara, di un progetto o iniziativa commerciale), che suggerisce una pianificazione mirata.

Infine, gli autori della minaccia potrebbero essere gruppi nation-state (APT, Advanced Persistent Threat) interessati a informazioni su progetti infrastrutturali o energetici oppure concorrenti senza scrupoli che vogliono ottenere indebitamente dei vantaggi.