هشدار: هکرها بدافزار را از طریق پیوست های Microsoft OneNote نصب می کنند

هکرها از یک فرمت فایل جدید در قالب پیوست های Microsoft OneNote برای انتشار بدافزار به اهداف استفاده می کنند. با دوبار کلیک کردن روی پیوست های هرزنامه مخرب، اسکریپت به طور خودکار راه اندازی می شود و در نتیجه بدافزار از یک سایت راه دور دانلود و نصب می شود. (Trustwave از طريق رایانه رایانه)

OneNote یکی از بخش های مرتبط مایکروسافت 365 باقی می ماند. غول نرم افزاری به طور مداوم است معرفی و تست ویژگی های جدید این برنامه، آن را راهی مناسب برای هکرها برای انجام جنایات خود می کند. و در یک کشف جدید، متخصصان امنیتی گفتند که بازیگران بد اکنون به پیوست های OneNote برای نصب نرم افزارهای مخرب در ماشین های قربانیان متکی هستند.

?
?? نامه Malspam با سند onenote ضمیمه تحویل داده می شود
?? پیوست Onenote حاوی دکمه‌ای است که پس از کلیک کردن، فایل صادر شده را اجرا می‌کند که در: «C:UsersuserAppDataLocalTempOneNote16.0Exported{UUID}NT» [1/3] pic.twitter.com/s6S7m18Fqo

— روندهای حمله نقطه ادراک (@AttackTrends) ژانویه 10، 2023

La هشدار از سوی کارشناسان امنیتی از دسامبر سال گذشته آغاز شد. Trustwave، یک شرکت امنیت سایبری، ماه گذشته گزارشی را منتشر کرد که در آن کشف استراتژی جدید را به اشتراک گذاشت.

Trustwave در وبلاگ خود به اشتراک می‌گذارد: «…از طریق این تحقیقات در حال انجام، ما عوامل تهدید را با استفاده از یک سند OneNote برای انتقال بدافزار Formbook، یک تروجان سرقت اطلاعات، کشف کردیم که از اواسط سال 2016 در یک انجمن هک زیرزمینی به‌عنوان بدافزار به‌عنوان یک سرویس فروخته می‌شد. یکی از انواع فایل‌هایی که در 6 دسامبر 2022 توجه ما را به خود جلب کرد، پیوست فوق‌الذکر OneNote بود، با پسوند .one که به ایمیل هرزنامه در سیستم تله‌متری ما پیوست شده بود.»

گزارش جداگانه ای از رایانه رایانه به اشتراک گذاشت که پیوست ها خود را به عنوان اسناد قابل اعتماد برای مشاغل، از جمله فاکتورها، نقشه های مکانیکی، اعلان های حمل و نقل DHL، فرم های حواله ACH و اسناد حمل و نقل پنهان می کنند. با این حال، گفته می‌شود که فایل‌ها پیوست‌های مخرب VBS هستند که می‌توانند اسکریپت‌ها را به‌طور خودکار با دوبار کلیک کردن کاربران روی آن‌ها راه‌اندازی کنند.

برای فریب دادن کاربران، عوامل تهدید از طریق نوار "دبل کلیک برای مشاهده فایل" یا "مشاهده سند" روی پیوست ها از یک فریب تصویر استفاده می کنند. حرکت یا کلیک کردن روی این همپوشانی چندین پیوست را نشان می دهد، و دوبار کلیک کردن در هر جایی از نوار منجر به دوبار کلیک کردن روی پیوست می شود و باعث راه اندازی اسکریپت می شود.

نکته مثبت این است که مایکروسافت همیشه راهی برای هشدار دادن به کاربران در مورد این خطر دارد. به این ترتیب، برنامه یک هشدار نشان می دهد که "باز کردن پیوست ها می تواند به رایانه و داده های شما آسیب برساند." اینجاست که کاربران می‌توانند با تأیید پیوست از طریق کلیک ساده روی دکمه «OK» که معمولاً توسط بسیاری نادیده گرفته می‌شود، بزرگترین اشتباه را مرتکب شوند.

پس از کلیک کردن، اسکریپت VBS دو فایل را از یک سرور راه دور دانلود و نصب می کند. با توجه به اسکرین شات های به اشتراک گذاشته شده توسط رایانه رایانه، اولین فایل برای فریب دادن کاربران با باز کردن یک سند OneNote با ظاهر قانونی است. با این حال، در کنار این یک اجرای پس‌زمینه فایل دسته‌ای مخرب است که بدافزار را روی دستگاه نصب می‌کند. این شامل تروجان های دسترسی از راه دور (مانند AsyncRAT، XWorm دسترسی از راه دور، و تروجان های Quasar Remote Access) با قابلیت سرقت اطلاعات، از گرفتن اسکرین شات و به دست آوردن رمزهای عبور ذخیره شده مرورگر گرفته تا ضبط ویدیو از طریق وب کم کاربر و سرقت کیف پول های ارزهای دیجیتال است.

متأسفانه، نهایت حفاظتی که کاربران می توانند برای نجات خود از مشکلات ذکر شده اعمال کنند، احتیاط در باز کردن فایل های فرستنده ناشناس و پیروی از هشدار امنیتی استاندارد سیستم و برنامه است. Trustwave در این میان پیشنهادی برای سازمان ها دارد.

Trustwave می گوید: «در مجموع، یک فایل WSF که در یک سند OneNote جاسازی شده است، احتمالاً در زیر رادار پرواز می کند. همچنین به این معنی است که OneNote اکنون می‌تواند به لیست سایر اسناد آفیس که باید از نظر اجزای مخرب بازرسی شوند، بپیوندد. همانطور که قبلا ذکر شد، دیدن فایل های .one که به ایمیل ها پیوست شده اند، معمولی نیست. به عنوان یک گام کاهش، سازمان‌ها باید پیوست‌های ایمیل ورودی را با پسوند one. مسدود یا پرچم‌گذاری کنند.