Peringatan: Peretas memasang malware melalui lampiran Microsoft OneNote

Peretas menggunakan format file baru dalam bentuk lampiran Microsoft OneNote untuk menyebarkan malware ke target. Mengklik dua kali lampiran spam berbahaya secara otomatis meluncurkan skrip, mengakibatkan malware dari situs jarak jauh diunduh dan diinstal. (Trustwave melalui Bleeping Computer)

OneNote tetap menjadi salah satu bagian yang relevan dari Microsoft 365. Raksasa perangkat lunak ini terus menerus memperkenalkan dan pengujian fitur baru ke aplikasi, menjadikannya rute yang layak bagi peretas untuk melakukan kejahatan mereka. Dan dalam penemuan baru, profesional keamanan mengatakan bahwa aktor jahat sekarang mengandalkan lampiran OneNote untuk menginstal perangkat lunak berbahaya ke dalam mesin korban.

?
?? Email malspam dikirim dengan dokumen onenote terlampir
?? Lampiran Onenote berisi tombol yang sekali diklik, ia mengeksekusi file yang diekspor yang terletak di: "C:UsersuserAppDataLocalTempOneNote16.0Exported{UUID}NT" [1/3] pic.twitter.com/s6S7m18Fqo

— Tren Serangan Titik Persepsi (@AttackTrends) Januari 10, 2023

peringatan dari pakar keamanan dimulai paling cepat Desember tahun lalu. Trustwave, sebuah perusahaan keamanan siber, menerbitkan laporan bulan lalu yang membagikan penemuan strategi baru tersebut.

“…Melalui penelitian yang sedang berlangsung ini, kami menemukan pelaku ancaman menggunakan dokumen OneNote untuk memindahkan malware Formbook, sebuah trojan pencuri informasi yang dijual di forum peretasan bawah tanah sejak pertengahan 2016 sebagai malware-as-a-service,” Trustwave berbagi di blognya. “Satu jenis file yang menarik perhatian kami pada 6 Desember 2022 adalah lampiran OneNote yang disebutkan di atas, dengan ekstensi .one yang dilampirkan ke email spam di sistem telemetri kami.”

Laporan terpisah dari Bleeping Computer berbagi bahwa lampiran menyamar sebagai dokumen yang dapat diandalkan untuk bisnis, termasuk faktur, gambar mekanik, pemberitahuan pengiriman DHL, formulir pengiriman uang ACH, dan dokumen pengiriman. File-file tersebut, bagaimanapun, dikatakan sebagai lampiran VBS berbahaya yang dapat meluncurkan skrip secara otomatis dengan pengguna hanya mengklik dua kali.

Untuk mengelabui pengguna, pelaku ancaman menggunakan iming-iming gambar melalui hamparan bilah "Klik dua kali untuk melihat file" atau "Lihat Dokumen" di atas lampiran. Memindahkan atau mengeklik overlay ini akan menampilkan banyak lampiran, dan mengklik dua kali di mana saja bilah akan menghasilkan klik dua kali pada lampiran, menyebabkan peluncuran skrip.

Sebagai catatan positif, Microsoft selalu memiliki cara untuk memperingatkan pengguna akan bahaya ini. Dengan demikian, aplikasi akan menampilkan peringatan yang menunjukkan bahwa “membuka lampiran dapat membahayakan komputer dan data Anda”. Di sinilah pengguna dapat membuat kesalahan terbesar dengan menegaskan lampiran melalui klik sederhana tombol "OK", yang biasanya diabaikan oleh banyak orang.

Setelah diklik, skrip VBS akan mengunduh dua file dari server jarak jauh dan menginstalnya. Menurut tangkapan layar yang dibagikan oleh Bleeping Computer, file pertama dimaksudkan untuk menipu pengguna dengan membuka dokumen OneNote yang terlihat sah. Namun, di samping ini adalah eksekusi latar belakang file batch berbahaya, yang akan menginstal malware di perangkat. Ini termasuk trojan akses jarak jauh (misalnya, AsyncRAT, akses jarak jauh XWorm, dan trojan Akses Jarak Jauh Quasar) dengan kemampuan mencuri informasi, mulai dari mengambil tangkapan layar dan memperoleh kata sandi browser yang disimpan hingga merekam video melalui webcam pengguna dan mencuri dompet mata uang kripto.

Sayangnya, perlindungan pamungkas yang dapat diterapkan pengguna untuk menyelamatkan diri dari masalah tersebut adalah dengan berhati-hati dalam membuka file dari pengirim yang tidak dikenal dan mengikuti peringatan keamanan standar sistem dan aplikasi. Trustwave, sementara itu, memiliki saran untuk organisasi.

"Singkatnya, file WSF yang disematkan dalam dokumen OneNote kemungkinan besar akan terbang di bawah radar," kata Trustwave. “Ini juga berarti bahwa OneNote sekarang dapat bergabung dengan daftar Dokumen Office lain yang perlu diperiksa untuk menemukan komponen berbahaya. Seperti disebutkan sebelumnya, tidak biasa melihat file .one yang dilampirkan ke email. Sebagai langkah mitigasi, organisasi harus mempertimbangkan untuk memblokir atau menandai lampiran email masuk dengan ekstensi .one.”