Allegati pericolosi e malware nei documenti Office: come inizia l’infezione

L’apertura di allegati malevoli inseriti nei messaggi di posta elettronica rimane ad oggi uno dei vettori di infezione più comuni anche in ambito professionale e aziendale. A ogni file che viene scaricato da sistemi remoti (ad esempio file pubblicati sui siti web o allegati alle email), Windows assegna automaticamente un attributo – detto Zone.Identifier -.
Cliccando con il tasto destro del mouse su un file scaricato in locale e scegliendo Proprietà, per gli elementi provenienti da sistemi remoti Windows mostrerà il messaggio ‘Il file proviene da un altro computer. Per facilitare la protezione del computer, potrebbe essere bloccato‘.
Questo significa che diversamente rispetto ai file prodotti sul PC in uso, l’elemento selezionato risulterà gestibile per impostazione predefinita in modalità ‘sola lettura’ e tutti gli eventuali ‘elementi attivi’ presenti nel documento, non verranno abilitati per default.

I documenti malevoli in formato Office (Word, Excel, PowerPoint,…) trasmessi via Internet, contengono macro o comunque codice che, se posto in esecuzione, attiva il download e l’esecuzione di malware oltre che l’installazione dei temibili ransomware.

L’attributo o flag Zone.Identifier viene gestito a livello di file system NTFS, come abbiamo visto nell’articolo NTFS, trucchi e segreti del file system più usato con Windows. Vai alla fonte