Varoitus: Hakkerit asentavat haittaohjelmia Microsoft OneNote -liitteiden kautta

Hakkerit käyttävät uutta tiedostomuotoa Microsoft OneNote -liitteiden muodossa levittääkseen haittaohjelmia kohteille. Haitallisten roskapostiliitteiden kaksoisnapsauttaminen käynnistää komentosarjan automaattisesti, jolloin haittaohjelma ladataan ja asennetaan etäsivustolta. (Trustwave kautta Bleeping Computer)

OneNote on edelleen yksi Microsoft 365:n olennaisista osista. Ohjelmistojätti on jatkuvasti käyttöön ja testaus uusia ominaisuuksia sovellukseen, mikä tekee siitä kunnollisen reitin hakkereille tehdä rikoksiaan. Ja uudessa löydössä tietoturva-ammattilaiset sanoivat, että huonot toimijat luottavat nyt OneNote-liitteisiin asentaakseen haittaohjelmia uhrien koneisiin.

?
?? Roskapostia toimitetaan liitteenä onenote-asiakirjalla
?? Onenote-liite sisältää painikkeen, jota napsautettuaan se suorittaa viedyn tiedoston, joka sijaitsee kohteessa: "C:UsersuserAppDataLocalTempOneNote16.0Exported{UUID}NT" [1/3] pic.twitter.com/s6S7m18Fqo

— Perception Point Attack Trends (@AttackTrends) Tammikuu 10, 2023

- varoitus tietoturva-asiantuntijoilta alkoi jo viime vuoden joulukuussa. Kyberturvallisuusyhtiö Trustwave julkaisi viime kuussa raportin, jossa kerrottiin uudesta strategiasta.

"…Tämän jatkuvan tutkimuksen avulla paljastimme uhkatekijöitä, jotka käyttivät OneNote-asiakirjaa siirtämään Formbook-haittaohjelmia, tietoja varastavia troijalaisia, joita on myyty maanalaisella hakkerointifoorumilla vuoden 2016 puolivälistä lähtien haittaohjelmina palveluna", Trustwave kertoo blogissaan. "Yksi tiedostotyyppi, joka pisti silmään 6. joulukuuta 2022, oli edellä mainittu OneNote-liite, jonka tunniste on liitetty roskapostiviestiin telemetriajärjestelmässämme."

Erillinen raportti Bleeping Computer jakoi, että liitteet naamioituvat luotettaviksi asiakirjoiksi yrityksille, mukaan lukien laskut, mekaaniset piirustukset, DHL:n lähetysilmoitukset, ACH-lähetyslomakkeet ja lähetysasiakirjat. Tiedostojen sanotaan kuitenkin olevan haitallisia VBS-liitteitä, jotka voivat käynnistää komentosarjoja automaattisesti käyttäjien yksinkertaisesti kaksoisnapsauttamalla niitä.

Käyttäjien huijaamiseksi uhkatekijät käyttävät kuvahoukuttelua liitteiden päällä olevan "Kaksoisnapsauta tiedostoa"- tai "Näytä asiakirja" -palkin kautta. Tämän peittokuvan siirtäminen tai napsauttaminen näyttää useita liitteitä, ja kaksoisnapsauttaminen missä tahansa palkissa johtaa liitteen kaksoisnapsautukseen, mikä käynnistää komentosarjan.

Positiivista on se, että Microsoftilla on aina tapa varoittaa käyttäjiä tästä vaarasta. Sellaisenaan sovellus näyttää varoituksen, joka osoittaa, että "liitteiden avaaminen voi vahingoittaa tietokonettasi ja tietojasi". Tässä käyttäjät voivat tehdä suurimman virheen vahvistamalla liitteen yksinkertaisella "OK"-painikkeen napsautuksella, jonka monet yleensä jättävät huomiotta.

Napsautettuaan VBS-skripti lataa kaksi tiedostoa etäpalvelimelta ja asentaa ne. Jakamien kuvakaappausten mukaan Bleeping Computer, ensimmäisen tiedoston on tarkoitus huijata käyttäjiä avaamalla laillisen näköinen OneNote-asiakirja. Tämän rinnalla on kuitenkin haitallinen erätiedoston taustasuoritus, joka asentaa haittaohjelman laitteeseen. Tämä sisältää etäkäyttötroijalaiset (esim. AsyncRAT, XWorm-etäkäyttö ja Quasar Remote Access -troijalaiset), joilla on tietojen varastaminen, aina kuvakaappausten ottamisesta ja tallennettujen selaimen salasanojen hankkimisesta videoiden tallentamiseen käyttäjien verkkokameroiden kautta ja kryptovaluuttalompakoiden varastamiseen.

Valitettavasti lopullinen suoja, jota käyttäjät voivat hakea pelastuakseen mainituilta ongelmilta, on olla varovainen avaaessaan tiedostoja tuntemattomilta lähettäjiltä ja noudattamalla järjestelmän ja sovelluksen vakioturvavaroitusta. Trustwavella on puolestaan ​​ehdotus organisaatioille.

"Yhteenvetona voidaan sanoa, että OneNote-asiakirjaan upotettu WSF-tiedosto jää todennäköisesti tutkan alle", Trustwave sanoo. "Se tarkoittaa myös, että OneNote voi nyt liittyä muiden Office-asiakirjojen luetteloon, jotka on tarkastettava haitallisten komponenttien varalta. Kuten aiemmin mainittiin, sähköpostien liitteenä ei ole tyypillistä nähdä .one-tiedostoja. Lieventämistoimenpiteenä organisaatioiden tulisi harkita saapuvien sähköpostien liitteiden estämistä tai merkitsemistä .one-tunnisteella."