Avertissement : les pirates installent des logiciels malveillants via les pièces jointes Microsoft OneNote
3 minute. lis
Publié le
Partagez cet article
Améliorer ce guide
Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus
Les pirates utilisent un nouveau format de fichier sous la forme de pièces jointes Microsoft OneNote pour propager des logiciels malveillants vers des cibles. Un double-clic sur les pièces jointes de spam malveillant lance automatiquement le script, ce qui entraîne le téléchargement et l'installation du logiciel malveillant d'un site distant. (Trustwave via Ordinateur Bleeping)
OneNote reste l'une des parties pertinentes de Microsoft 365. Le géant du logiciel est continuellement Découvrez le tout nouveau et vers les tests de nouvelles fonctionnalités à l'application, ce qui en fait un moyen décent pour les pirates d'accomplir leurs crimes. Et dans une nouvelle découverte, les professionnels de la sécurité ont déclaré que les acteurs malveillants s'appuient désormais sur les pièces jointes OneNote pour installer des logiciels malveillants sur les machines des victimes.
?
?? Courrier malspam livré avec un document onenote joint
?? La pièce jointe Onenote contient un bouton qui, une fois cliqué, exécute le fichier exporté situé dans : "C:UsersuserAppDataLocalTempOneNote16.0Exported{UUID}NT" [1/3] pic.twitter.com/s6S7m18Fqo— Tendances des attaques par point de perception (@AttackTrends) 10 janvier 2023
La avertissement d'experts en sécurité a commencé dès décembre de l'année dernière. Trustwave, une société de cybersécurité, a publié le mois dernier un rapport partageant la découverte de la nouvelle stratégie.
"... Grâce à cette recherche en cours, nous avons découvert des acteurs de la menace utilisant un document OneNote pour déplacer le logiciel malveillant Formbook, un cheval de Troie voleur d'informations vendu sur un forum de piratage souterrain depuis la mi-2016 en tant que logiciel malveillant en tant que service", partage Trustwave dans son blog. "Un type de fichier qui a attiré notre attention le 6 décembre 2022 était la pièce jointe OneNote susmentionnée, avec une extension .one attachée à un spam dans notre système de télémétrie."
Un rapport distinct de Ordinateur Bleeping partagé que les pièces jointes se déguisent en documents fiables pour les entreprises, y compris les factures, les dessins mécaniques, les notifications d'expédition DHL, les formulaires de versement ACH et les documents d'expédition. Les fichiers, cependant, seraient des pièces jointes VBS malveillantes qui peuvent lancer des scripts automatiquement avec les utilisateurs en double-cliquant simplement dessus.
Pour tromper les utilisateurs, les acteurs de la menace utilisent un leurre d'image via la superposition de la barre "Double-cliquez pour afficher le fichier" ou "Afficher le document" sur les pièces jointes. Déplacer ou cliquer sur cette superposition affichera les multiples pièces jointes, et double-cliquer n'importe où sur la barre entraînera un double-clic sur la pièce jointe, provoquant le lancement du script.
Sur une note positive, Microsoft a toujours un moyen d'avertir les utilisateurs de ce danger. En tant que telle, l'application affichera un avertissement indiquant que "l'ouverture des pièces jointes pourrait endommager votre ordinateur et vos données". C'est là que les utilisateurs pourraient commettre la plus grosse erreur en confirmant la pièce jointe par un simple clic sur le bouton "OK", qui est généralement ignoré par beaucoup.
Une fois cliqué, le script VBS téléchargera deux fichiers à partir d'un serveur distant et les installera. D'après les captures d'écran partagées par Ordinateur Bleeping, le premier fichier est destiné à tromper les utilisateurs en ouvrant un document OneNote d'apparence légitime. Cependant, à côté de cela, il y a une exécution en arrière-plan d'un fichier batch malveillant, qui installera le logiciel malveillant sur l'appareil. Cela inclut les chevaux de Troie d'accès à distance (par exemple, AsyncRAT, l'accès à distance XWorm et les chevaux de Troie d'accès à distance Quasar) avec des capacités de vol d'informations, de la prise de captures d'écran et de l'acquisition de mots de passe de navigateur enregistrés à l'enregistrement de vidéos via les webcams de l'utilisateur et au vol de portefeuilles de crypto-monnaie.
Malheureusement, la protection ultime que les utilisateurs peuvent appliquer pour se protéger desdits problèmes est d'être prudent lors de l'ouverture de fichiers provenant d'expéditeurs inconnus et de suivre l'alerte de sécurité standard du système et de l'application. Trustwave, quant à lui, a une suggestion pour les organisations.
"En résumé, un fichier WSF intégré dans un document OneNote est susceptible de passer inaperçu", déclare Trustwave. "Cela signifie également que OneNote peut désormais rejoindre la liste des autres documents Office qui doivent être inspectés pour détecter les composants malveillants. Comme mentionné précédemment, il n'est pas courant de voir des fichiers .one joints à des e-mails. Comme mesure d'atténuation, les organisations devraient envisager de bloquer ou de signaler les pièces jointes entrantes avec une extension .one.
