Figyelmeztetés: A hackerek rosszindulatú programokat telepítenek a Microsoft OneNote mellékleteken keresztül

A hackerek egy új fájlformátumot használnak a Microsoft OneNote mellékletei formájában, hogy rosszindulatú programokat terjeszthessenek a célpontokra. A rosszindulatú levélszemét-mellékletekre duplán kattintva automatikusan elindul a szkript, ami egy távoli webhelyről származó rosszindulatú program letöltését és telepítését eredményezi. (Trustwave keresztül Bleeping Computer)

A OneNote továbbra is a Microsoft 365 egyik releváns része. A szoftveróriás folyamatosan bevezetéséről és a tesztelés új funkciók az alkalmazáshoz, így ez egy megfelelő útvonal a hackerek számára a bűncselekmények végrehajtására. Egy új felfedezés szerint a biztonsági szakemberek azt mondták, hogy a rossz szereplők most a OneNote-mellékletekre hagyatkoznak, hogy rosszindulatú szoftvereket telepítsenek az áldozatok gépére.

?
?? Malspam levelet kézbesítünk csatolt onenote dokumentummal
?? Az Onenote melléklet tartalmaz egy gombot, amelyre kattintás után végrehajtja az exportált fájlt, amely a következő helyen található: "C:UsersuserAppDataLocalTempOneNote16.0Exported{UUID}NT" [1/3] pic.twitter.com/s6S7m18Fqo

— Perception Point Attack Trends (@AttackTrends) Január 10, 2023

A figyelmeztetés biztonsági szakértőktől már tavaly decemberben elkezdték. A Trustwave, egy kiberbiztonsági vállalat a múlt hónapban közzétett egy jelentést, amelyben megosztja az új stratégia felfedezését.

„…A folyamatban lévő kutatás során feltártuk azokat a fenyegetések szereplőit, akik egy OneNote-dokumentumot használnak a Formbook kártevők mozgatására, egy információlopó trójaira, amelyet 2016 közepe óta árulnak egy földalatti hackerfórumon malware-as-a-service-ként” – írja a Trustwave blogjában. „6. december 2022-án az egyik fájltípus, amelyre felfigyeltünk, a fent említett OneNote-melléklet volt, amelynek .one kiterjesztése egy spam e-mailhez volt csatolva telemetriai rendszerünkben.”

Külön jelentéstől Bleeping Computer megosztotta, hogy a mellékletek megbízható üzleti dokumentumoknak álcázzák magukat, beleértve a számlákat, a gépészeti rajzokat, a DHL szállítási értesítéseit, az ACH átutalási űrlapokat és a szállítási dokumentumokat. A fájlok azonban rosszindulatú VBS-mellékletek, amelyek automatikusan elindíthatják a szkripteket, és a felhasználók egyszerűen duplán kattintanak rájuk.

A felhasználók megtévesztésére a fenyegetés szereplői képcsalót használnak a mellékletek feletti „Double Click to view file” vagy a „View Document” (Dokumentum megtekintése) sávon keresztül. Ha áthelyezi vagy rákattint erre a fedvényre, akkor több melléklet jelenik meg, és ha duplán kattint bárhol a sávon, akkor duplán kattint a mellékletre, ami elindítja a szkriptet.

Pozitívum, hogy a Microsoft mindig képes figyelmeztetni a felhasználókat erre a veszélyre. Ennek megfelelően az alkalmazás figyelmeztetést jelenít meg, amely azt jelzi, hogy „a mellékletek megnyitása károsíthatja számítógépét és adatait”. Itt követhetik el a felhasználók a legnagyobb hibát, ha az „OK” gomb egyszerű kattintásával megerősítik a mellékletet, amit sokan általában figyelmen kívül hagynak.

A kattintás után a VBS-szkript letölt két fájlt egy távoli kiszolgálóról, és telepíti azokat. Az általa megosztott képernyőképek szerint Bleeping Computer, az első fájl célja, hogy megtévessze a felhasználókat egy legitim megjelenésű OneNote-dokumentum megnyitásával. Ezzel együtt azonban egy rosszindulatú kötegfájl-végrehajtás a háttérben, amely telepíti a kártevőt az eszközre. Ez magában foglalja a távoli hozzáférésű trójaiakat (pl. AsyncRAT, XWorm távoli hozzáférés és Quasar Remote Access trójaiak), amelyek információlopási képességgel rendelkeznek, a képernyőképek készítésétől és a mentett böngészőjelszavak beszerzésétől a felhasználók webkameráin keresztül történő videók rögzítéséig és a kriptovaluta pénztárcák ellopásáig.

Sajnos a felhasználók az említett problémáktól való megóvása érdekében a végső védelem az ismeretlen feladóktól származó fájlok óvatos megnyitása, valamint a rendszer és az alkalmazás szabványos biztonsági figyelmeztetésének követése. A Trustwave-nek van egy javaslata a szervezetek számára.

„Összefoglalva, egy OneNote-dokumentumba ágyazott WSF-fájl valószínűleg a radar alá kerül” – mondja Trustwave. „Ez azt is jelenti, hogy a OneNote mostantól csatlakozhat azon egyéb Office-dokumentumok listájához, amelyeket meg kell vizsgálni a rosszindulatú összetevők szempontjából. Ahogy korábban említettük, nem jellemző, hogy .one fájlokat csatolnak az e-mailekhez. Csökkentő lépésként a szervezeteknek fontolóra kell venniük a bejövő e-mailek mellékleteinek blokkolását vagy megjelölését .one kiterjesztéssel.”