Advarsel: Hackere installerer malware via Microsoft OneNote-vedhæftede filer

Hackere bruger et nyt filformat i form af Microsoft OneNote-vedhæftede filer til at sprede malware til mål. Dobbeltklik på de ondsindede spam-vedhæftede filer starter automatisk scriptet, hvilket resulterer i, at malware fra et eksternt websted downloades og installeres. (Trustwave via Bleeping Computer)

OneNote forbliver en af ​​de relevante dele af Microsoft 365. Softwaregiganten er løbende indføre og test nye funktioner til appen, hvilket gør det til en anstændig rute for hackere at udføre deres forbrydelser. Og i en ny opdagelse sagde sikkerhedsprofessionelle, at dårlige aktører nu er afhængige af OneNote-vedhæftede filer til at installere skadelig software på ofrenes maskiner.

?
?? Malspam-mail bliver leveret med vedhæftet onenote-dokument
?? Onenote-vedhæftet fil indeholder en knap, der når der er klikket på den, udfører den eksporterede fil placeret i: "C:UseruserAppDataLocalTempOneNote16.0Exported{UUID}NT" [1/3] pic.twitter.com/s6S7m18Fqo

— Perception Point Attack Trends (@AttackTrends) Januar 10, 2023

advarsel fra sikkerhedseksperter startede allerede i december sidste år. Trustwave, et cybersikkerhedsfirma, offentliggjorde en rapport i sidste måned, hvori de delte opdagelsen af ​​den nye strategi.

"...Gennem denne igangværende forskning afslørede vi trusselsaktører, der brugte et OneNote-dokument til at flytte Formbook malware, en informationstjælende trojaner, der er solgt på et underjordisk hackingforum siden midten af ​​2016 som malware-as-a-service," fortæller Trustwave i sin blog. "En filtype, der fangede vores opmærksomhed den 6. december 2022, var den førnævnte OneNote-vedhæftning med en .one-udvidelse knyttet til en spam-e-mail i vores telemetrisystem."

En separat rapport fra Bleeping Computer delte, at de vedhæftede filer forklæder sig som pålidelige dokumenter for virksomheder, herunder fakturaer, mekaniske tegninger, DHL-forsendelsesmeddelelser, ACH-overførselsformularer og forsendelsesdokumenter. Filerne siges dog at være ondsindede VBS-vedhæftede filer, der kan starte scripts automatisk, hvor brugerne blot dobbeltklikker på dem.

For at narre brugere bruger trusselsaktørerne et billedlokkemiddel gennem "Dobbeltklik for at se fil" eller "Vis dokument"-bjælkeoverlejringen over de vedhæftede filer. Hvis du flytter eller klikker på denne overlejring, vises de flere vedhæftede filer, og hvis du dobbeltklikker hvor som helst på bjælken, vil det resultere i dobbeltklik på den vedhæftede fil, hvilket forårsager lanceringen af ​​scriptet.

På en positiv bemærkning har Microsoft altid en måde at advare brugere om denne fare på. Som sådan vil appen vise en advarsel, der indikerer, at "åbning af vedhæftede filer kan skade din computer og data." Det er her, brugere kan begå den største fejl ved at bekræfte vedhæftningen ved at klikke på "OK"-knappen, som ofte ignoreres af mange.

Når der er klikket på det, vil VBS-scriptet downloade to filer fra en ekstern server og installere dem. Ifølge skærmbillederne delt af Bleeping Computer, er den første fil beregnet til at narre brugere ved at åbne et lovligt OneNote-dokument. Men ved siden af ​​dette er en ondsindet batchfil-baggrundsudførelse, som vil installere malwaren på enheden. Dette inkluderer fjernadgangstrojanske heste (f.eks. AsyncRAT, XWorm-fjernadgang og Quasar Remote Access-trojanske heste) med muligheder for at stjæle information, lige fra at tage skærmbilleder og anskaffe gemte browseradgangskoder til at optage videoer via brugerens webcams og stjæle cryptocurrency-punge.

Desværre er den ultimative beskyttelse, som brugere kan anvende for at redde sig selv fra de nævnte problemer, ved at være forsigtig med at åbne filer fra ukendte afsendere og følge systemets og appens standard sikkerhedsadvarsel. Trustwave har i mellemtiden et forslag til organisationer.

"Samlet set vil en WSF-fil, der er indlejret i et OneNote-dokument, sandsynligvis flyve under radaren," siger Trustwave. "Det betyder også, at OneNote nu kan tilslutte sig listen over andre Office-dokumenter, der skal inspiceres for ondsindede komponenter. Som tidligere nævnt er det ikke typisk at se .one-filer vedhæftet e-mails. Som et afbødningstrin bør organisationer overveje at blokere eller markere indgående e-mailvedhæftede filer med en .one-udvidelse."