Quando di parla di certificazioni in ambito IT si apre la discussione del secolo. 

Schiere di esperti che decantano le certificazioni “riconosciute” per ogni settore dell’IT e per ogni livello di professionalità. 

Finché si parla di certificazioni IT su prodotti, i vari Vendor la fanno da padrone; ecco che Microsoft rilascia esami di certificazione per riconoscere le competenze sui propri prodotti, seguita poi da tutti gli altri, da Cisco a Red Hat (non me ne vogliano i brand che non ho menzionato). 

Quando si esce dalla certificazione di prodotto e si entra in quella riguardante un particolare ambiente, come la Cybersecurity, il gioco si fa più interessante. 

Innanzitutto, bisogna chiarire cosa significa certificazione “riconosciuta”. 

Non esistono enti nazionali o sovranazionali che riconoscano una certificazione, quindi il termine “riconosciuta” è abusato

Sembra un gioco di parole, ed invece è uno dei tanti allarmi lanciati quest’anno rispetto alla sicurezza di tecnologie utilizzate in modo diffuso. 

Zoom è la piattaforma di collaborazione che ha avuto una esplosione di notorietà ed utilizzo nel periodo di pandemia, come molte altre piattaforme concorrenti. Il mondo da quel momento è profondamente cambiato e l’utilizzo di tali piattaforme è divenuto consuetudine anche per gruppi sociali precedentemente inimmaginabili. 

Evidentemente una così ampia diffusione di utilizzo crea bacini di potenziali vittime enorme, pertanto gli agenti di minaccia potrebbero trovare grande interesse per questa nuova superficie di attacco. 

Come è possibile vedere nell’elenco ufficiale dei bollettini di sicurezza emanati dalla società Zoom (https://explore.zoom.us/en/trust/security/security-bulletin/), anche a maggio sono stati rilevati 4 nuovi problemi di sicurezza

Una minaccia sotto forma di documento Office è stata nuovamente vista in natura. 

Si tratta di una falla di sicurezza già segnalata a Microsoft in aprile quando l’analista Kevin Beaumont ne ha trovato traccia in attacchi contro obiettivi russi (anche se VirusTotal indica obiettivi anche Bielorussi): questa segnalazione però non ha portato dei rimedi immediati, anzi, la società di Redmond ha ignorato inizialmente la questione indicandola come una questione “non di sicurezza”. 

In concreto si tratta della vulnerabilità CVE-2022-30190, ora salita agli altari della cronaca dopo che l’Unità 42 di Palo Alto ne ha evidenziato tracce di utilizzo in natura, benché ancora come semplici prove (hanno visto dalla telemetria dei loro clienti l’attivazione mediante questa debolezza di eseguibili “benigni” quali calc e notepad: per ora “benigni”).

Le campagne basate su email e veicolanti un malware occultato in un allegato coerente con il messaggio sono la consuetudine; ci si aspetta anche che l’allegato sia un documento Office (Word o Excel), visto che quasi la metà degli attacchi in questa prima parte del 2022 ha preso questa forma. Niente di più sorprendente dunque quello di rivedere un attacco in natura basato su un trasporto di documento PDF, cosa invece rilevata di recente dai ricercatori di sicurezza. 

La vittima viene ingannata dall’urgenza di un pagamento di una rimessa diretta le cui informazioni dovrebbero essere incluse nell’allegato PDF. 

Naturalmente il file PDF è solo l’esca: in effetti questo non è il payload definitivo, bensì sfrutta Microsoft Word per trasportare (in un secondo momento rispetto alla prima infezione) il carico utile effettivo: il malware orientato al furto di informazioni Snake Keylogger. Questo è un software sviluppato in .NET già visto nel 2020 che può mettere le mani sulle credenziali salvate, le sequenze di tasti digitate dalla vittima (da cui il nome keylogger), gli screenshot dello schermo del dispositivo vittima e naturalmente gli appunti (i dati trasferiti mediante l’utilizzatissima procedura del “copia e incolla”). 

Il malware viene trasportato attraverso una sequenza di aperture di documenti (a partire dal PDF) che ne maschera gli intenti di fondo; nel PDF è presente un documento Word di tipo .docx incapsulato e denominato appositamente con una frase (“has been verified. However PDF, Jpeg, xlsx, .docx”) creata in modo tale da divenire parte del tipico messaggio di avviso che