هشدار: هکرها بدافزار را از طریق پیوست های Microsoft OneNote نصب می کنند
3 دقیقه خواندن
منتشر شده در
صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب
هکرها از یک فرمت فایل جدید در قالب پیوست های Microsoft OneNote برای انتشار بدافزار به اهداف استفاده می کنند. با دوبار کلیک کردن روی پیوست های هرزنامه مخرب، اسکریپت به طور خودکار راه اندازی می شود و در نتیجه بدافزار از یک سایت راه دور دانلود و نصب می شود. (Trustwave از طريق رایانه رایانه)
OneNote یکی از بخش های مرتبط مایکروسافت 365 باقی می ماند. غول نرم افزاری به طور مداوم است معرفی و تست ویژگی های جدید این برنامه، آن را راهی مناسب برای هکرها برای انجام جنایات خود می کند. و در یک کشف جدید، متخصصان امنیتی گفتند که بازیگران بد اکنون به پیوست های OneNote برای نصب نرم افزارهای مخرب در ماشین های قربانیان متکی هستند.
?
?? نامه Malspam با سند onenote ضمیمه تحویل داده می شود
?? پیوست Onenote حاوی دکمهای است که پس از کلیک کردن، فایل صادر شده را اجرا میکند که در: «C:UsersuserAppDataLocalTempOneNote16.0Exported{UUID}NT» [1/3] pic.twitter.com/s6S7m18Fqo— روندهای حمله نقطه ادراک (@AttackTrends) ژانویه 10، 2023
La هشدار از سوی کارشناسان امنیتی از دسامبر سال گذشته آغاز شد. Trustwave، یک شرکت امنیت سایبری، ماه گذشته گزارشی را منتشر کرد که در آن کشف استراتژی جدید را به اشتراک گذاشت.
Trustwave در وبلاگ خود به اشتراک میگذارد: «…از طریق این تحقیقات در حال انجام، ما عوامل تهدید را با استفاده از یک سند OneNote برای انتقال بدافزار Formbook، یک تروجان سرقت اطلاعات، کشف کردیم که از اواسط سال 2016 در یک انجمن هک زیرزمینی بهعنوان بدافزار بهعنوان یک سرویس فروخته میشد. یکی از انواع فایلهایی که در 6 دسامبر 2022 توجه ما را به خود جلب کرد، پیوست فوقالذکر OneNote بود، با پسوند .one که به ایمیل هرزنامه در سیستم تلهمتری ما پیوست شده بود.»
گزارش جداگانه ای از رایانه رایانه به اشتراک گذاشت که پیوست ها خود را به عنوان اسناد قابل اعتماد برای مشاغل، از جمله فاکتورها، نقشه های مکانیکی، اعلان های حمل و نقل DHL، فرم های حواله ACH و اسناد حمل و نقل پنهان می کنند. با این حال، گفته میشود که فایلها پیوستهای مخرب VBS هستند که میتوانند اسکریپتها را بهطور خودکار با دوبار کلیک کردن کاربران روی آنها راهاندازی کنند.
برای فریب دادن کاربران، عوامل تهدید از طریق نوار "دبل کلیک برای مشاهده فایل" یا "مشاهده سند" روی پیوست ها از یک فریب تصویر استفاده می کنند. حرکت یا کلیک کردن روی این همپوشانی چندین پیوست را نشان می دهد، و دوبار کلیک کردن در هر جایی از نوار منجر به دوبار کلیک کردن روی پیوست می شود و باعث راه اندازی اسکریپت می شود.
نکته مثبت این است که مایکروسافت همیشه راهی برای هشدار دادن به کاربران در مورد این خطر دارد. به این ترتیب، برنامه یک هشدار نشان می دهد که "باز کردن پیوست ها می تواند به رایانه و داده های شما آسیب برساند." اینجاست که کاربران میتوانند با تأیید پیوست از طریق کلیک ساده روی دکمه «OK» که معمولاً توسط بسیاری نادیده گرفته میشود، بزرگترین اشتباه را مرتکب شوند.
پس از کلیک کردن، اسکریپت VBS دو فایل را از یک سرور راه دور دانلود و نصب می کند. با توجه به اسکرین شات های به اشتراک گذاشته شده توسط رایانه رایانه، اولین فایل برای فریب دادن کاربران با باز کردن یک سند OneNote با ظاهر قانونی است. با این حال، در کنار این یک اجرای پسزمینه فایل دستهای مخرب است که بدافزار را روی دستگاه نصب میکند. این شامل تروجان های دسترسی از راه دور (مانند AsyncRAT، XWorm دسترسی از راه دور، و تروجان های Quasar Remote Access) با قابلیت سرقت اطلاعات، از گرفتن اسکرین شات و به دست آوردن رمزهای عبور ذخیره شده مرورگر گرفته تا ضبط ویدیو از طریق وب کم کاربر و سرقت کیف پول های ارزهای دیجیتال است.
متأسفانه، نهایت حفاظتی که کاربران می توانند برای نجات خود از مشکلات ذکر شده اعمال کنند، احتیاط در باز کردن فایل های فرستنده ناشناس و پیروی از هشدار امنیتی استاندارد سیستم و برنامه است. Trustwave در این میان پیشنهادی برای سازمان ها دارد.
Trustwave می گوید: «در مجموع، یک فایل WSF که در یک سند OneNote جاسازی شده است، احتمالاً در زیر رادار پرواز می کند. همچنین به این معنی است که OneNote اکنون میتواند به لیست سایر اسناد آفیس که باید از نظر اجزای مخرب بازرسی شوند، بپیوندد. همانطور که قبلا ذکر شد، دیدن فایل های .one که به ایمیل ها پیوست شده اند، معمولی نیست. به عنوان یک گام کاهش، سازمانها باید پیوستهای ایمیل ورودی را با پسوند one. مسدود یا پرچمگذاری کنند.