Un file Word o Excel che sembra innocuo. Apri l'allegato, abiliti le macro e il tuo PC e' compromesso. Ecco come funziona e come MailSniper lo blocca prima che arrivi nella tua casella.
Il macro malware e codice malevolo nascosto all'interno delle macro di documenti Office — Word, Excel, PowerPoint. Le macro sono piccoli programmi che automatizzano operazioni nei documenti. Di per se sono strumenti utili. Il problema e che i criminali le usano per nascondere codice che scarica ransomware, trojan o spyware sul tuo computer.
Il vettore di distribuzione preferito? L'email. Ti arriva un messaggio apparentemente normale: una fattura, un ordine di acquisto, un curriculum. L'allegato sembra un documento Office legittimo. Lo apri, Word ti chiede “Vuoi abilitare le macro?” e tu clicchi si. In quel momento, il codice malevolo si attiva.
Sembra un attacco banale? Lo e, dal punto di vista tecnico. Ma funziona ancora nel 2026 perche sfrutta l'abitudine: chi lavora con documenti Office tutti i giorni non ci pensa due volte prima di abilitare le macro. Ed e proprio su questo che contano gli attaccanti.
Un attacco via macro malware segue quasi sempre lo stesso copione. Ecco le fasi, passo dopo passo:
L'attaccante invia un'email con un allegato .docx, .xlsm o .doc. Il messaggio e costruito per sembrare credibile: “In allegato la fattura n. 4521”, “Ecco il preventivo richiesto”, “Curriculum candidato — posizione Marketing”. Il mittente puo essere falsificato tramite spoofing.
All'apertura del file, Word o Excel mostra una barra gialla: “Le macro sono state disabilitate”. Il documento contiene un'immagine sfocata o un messaggio che dice “Per visualizzare il contenuto, abilita le macro”. E social engineering puro: ti convincono a disattivare la protezione con le tue stesse mani.
Quando abiliti le macro, il codice VBA si esegue in background. In genere, la macro non contiene direttamente il malware. Si limita a scaricare il payload vero e proprio da un server remoto usando PowerShell o cmd.exe. Questo rende il documento piu difficile da rilevare per gli antivirus tradizionali.
Il payload scaricato puo essere qualsiasi cosa: ransomware che cripta i file, un trojan che da accesso remoto all'attaccante, un keylogger che registra password e credenziali. E tutto e partito da un documento Office allegato a un'email.
Microsoft ha bloccato le macro per impostazione predefinita nei documenti scaricati da internet dal 2022. Ma il macro malware non e scomparso. Ecco perche:
Gli attaccanti sono passati a formati meno protetti: file .xll (add-in Excel), documenti .iso e .img che bypassano la Mark of the Web, file .lnk mascherati da documenti. La creativita non manca.
Molte aziende usano macro legittime per automazioni interne. Disabilitarle globalmente non e sempre possibile. Gli attaccanti lo sanno e puntano proprio su questi contesti.
Il codice VBA viene offuscato, frammentato su piu moduli, cifrato. I nomi delle variabili sono casuali. L'antivirus tradizionale che analizza le firme non riesce a rilevarlo.
Le email sono sempre piu convincenti. Usano nomi reali di colleghi, riferimenti a progetti in corso, loghi aziendali accurati. Il dipendente che riceve la “fattura del fornitore” non sospetta nulla.
Ecco alcune campagne reali che hanno usato macro malware per colpire aziende:
Per anni il malware piu diffuso al mondo. Si propagava tramite documenti Word con macro che, una volta attivate, scaricavano il trojan Emotet. Da li, l'infezione si estendeva all'intera rete aziendale e veniva usata per distribuire ransomware come Ryuk e Conti.
Distribuito tramite fogli Excel con macro malevole. I file arrivavano come risposta a conversazioni email reali (thread hijacking): il messaggio sembrava la continuazione di uno scambio autentico con un collega o fornitore, rendendo quasi impossibile sospettare l'inganno.
Trojan bancario distribuito per anni tramite documenti Word con macro VBA. Le email erano mascherate da notifiche di pagamento, fatture o avvisi fiscali. Una volta installato, Dridex rubava credenziali bancarie e dati finanziari dalle postazioni infette.
La difesa migliore e impedire che il documento malevolo arrivi nella casella del dipendente. MailSniper agisce su piu livelli:
Scopri come funziona il sandboxing e perche e fondamentale per bloccare le minacce zero-day nascoste nei documenti Office.