Upozornění: Hackeři instalují malware prostřednictvím příloh Microsoft OneNote

Hackeři používají nový formát souborů ve formě příloh Microsoft OneNote k šíření malwaru na cíle. Dvojitým kliknutím na přílohy škodlivého spamu se skript automaticky spustí, což má za následek stažení a instalaci malwaru ze vzdáleného webu. (Trustwave přes Bleeping počítač)

OneNote zůstává jednou z relevantních součástí Microsoft 365. Softwarový gigant nepřetržitě zavedení a Testování nové funkce aplikace, což z ní dělá slušnou cestu pro hackery k provádění jejich zločinů. A v novém objevu odborníci na bezpečnost uvedli, že špatní herci nyní spoléhají na přílohy OneNotu, aby instalovali škodlivý software do počítačů obětí.

?
?? Malspamová pošta je doručována s připojeným dokumentem Onenote
?? Příloha Onenote obsahuje tlačítko, které po kliknutí spustí exportovaný soubor umístěný v: "C:UsersuserAppDataLocalTempOneNote16.0Exported{UUID}NT" [1/3] pic.twitter.com/s6S7m18Fqo

— Trendy útoku na bod vnímání (@AttackTrends) Ledna 10, 2023

Projekt varování od bezpečnostních expertů začala již v prosinci loňského roku. Trustwave, společnost zabývající se kybernetickou bezpečností, zveřejnila minulý měsíc zprávu o objevu nové strategie.

„…Prostřednictvím tohoto probíhajícího výzkumu jsme odhalili aktéry hrozeb pomocí dokumentu OneNote k přesunu malwaru Formbook, trojského koně kradoucího informace, který se od poloviny roku 2016 prodává jako malware-as-a-service,“ uvádí Trustwave na svém blogu. „Jeden typ souboru, který nás zaujal 6. prosince 2022, byla výše zmíněná příloha OneNote s příponou .one připojenou k nevyžádanému e-mailu v našem telemetrickém systému.“

Samostatná zpráva od Bleeping počítač sdíleli, že přílohy se maskují jako spolehlivé dokumenty pro podniky, včetně faktur, mechanických výkresů, oznámení o odeslání DHL, formulářů pro úhradu ACH a přepravních dokumentů. Soubory jsou však považovány za škodlivé přílohy VBS, které mohou automaticky spouštět skripty, když na ně uživatelé jednoduše dvakrát kliknou.

K oklamání uživatelů používají aktéři hrozeb obrázkovou návnadu prostřednictvím překryvné lišty „Dvojitým kliknutím zobrazíte soubor“ nebo „Zobrazit dokument“ přes přílohy. Přesunutím nebo kliknutím na toto překrytí se zobrazí více příloh a poklepání na libovolné místo na liště povede k poklepání na přílohu, což způsobí spuštění skriptu.

Pozitivní je, že Microsoft má vždy způsob, jak uživatele před tímto nebezpečím varovat. Aplikace jako taková zobrazí varování, že „otevření příloh může poškodit váš počítač a data“. Zde mohou uživatelé udělat největší chybu, když potvrdí přílohu jednoduchým kliknutím na tlačítko „OK“, které mnozí běžně ignorují.

Po kliknutí skript VBS stáhne dva soubory ze vzdáleného serveru a nainstaluje je. Podle screenshotů sdílených uživatelem Bleeping počítač, první soubor má oklamat uživatele otevřením důvěryhodně vypadajícího dokumentu OneNotu. Vedle toho je však spuštěn škodlivý dávkový soubor na pozadí, který nainstaluje malware do zařízení. To zahrnuje trojské koně pro vzdálený přístup (např. AsyncRAT, XWorm Remote Access a Quasar Remote Access trojské koně) se schopnostmi krást informace, od pořizování snímků obrazovky a získávání uložených hesel prohlížeče až po nahrávání videí přes webové kamery uživatele a krádeže kryptoměnových peněženek.

Bohužel, konečná ochrana, kterou mohou uživatelé použít, aby se zachránili před uvedenými problémy, je opatrnost při otevírání souborů od neznámých odesílatelů a dodržování standardního bezpečnostního upozornění systému a aplikace. Trustwave má mezitím návrh pro organizace.

„Souhrnně, soubor WSF vložený do dokumentu OneNote pravděpodobně proletí pod radarem,“ říká Trustwave. „Znamená to také, že OneNote se nyní může připojit k seznamu dalších dokumentů Office, které je třeba zkontrolovat, zda neobsahují škodlivé součásti. Jak již bylo zmíněno dříve, není obvyklé vidět soubory .one připojené k e-mailům. Jako krok zmírnění by měly organizace zvážit blokování nebo označování příloh příchozích e-mailů pomocí přípony .one.“