אזהרה: האקרים מתקינים תוכנות זדוניות באמצעות קבצים מצורפים של Microsoft OneNote

האקרים משתמשים בפורמט קובץ חדש בצורה של קבצים מצורפים של Microsoft OneNote כדי להפיץ תוכנות זדוניות למטרות. לחיצה כפולה על קבצי הספאם הזדוניים מפעילה את הסקריפט באופן אוטומטי, וכתוצאה מכך הורדה והתקנה של התוכנה הזדונית מאתר מרוחק. (אמון גלים באמצעות מחשב)

OneNote נשאר אחד החלקים הרלוונטיים של Microsoft 365. ענקית התוכנה נמצאת ברציפות החדרה ו בדיקות תכונות חדשות לאפליקציה, מה שהופך אותה למסלול הגון עבור האקרים לבצע את הפשעים שלהם. ובתגלית חדשה, מומחי אבטחה אמרו ששחקנים גרועים מסתמכים כעת על קבצים מצורפים של OneNote כדי להתקין תוכנה זדונית במחשבים של הקורבנות.

?
?? דואר ספאם נמסר עם מסמך onenote מצורף
?? קובץ מצורף של Onenote מכיל כפתור שברגע שנלחץ, הוא מבצע קובץ מיוצא הממוקם ב: "C:UseruserAppDataLocalTempOneNote16.0Exported{UUID}NT" [1/3] pic.twitter.com/s6S7m18Fqo

- מגמות התקפה של נקודות תפיסה (@AttackTrends) ינואר 10, 2023

השמיים אזהרה ממומחי אבטחה החלו כבר בדצמבר בשנה שעברה. Trustwave, חברת אבטחת סייבר, פרסמה בחודש שעבר דו"ח המשתף בגילוי האסטרטגיה החדשה.

"...באמצעות מחקר מתמשך זה, חשפנו שחקני איומים המשתמשים במסמך OneNote כדי להעביר תוכנות זדוניות של Formbook, טרויאני גניבת מידע שנמכר בפורום פריצה מחתרתי מאז אמצע 2016 כתוכנה זדונית-כשירות", משתפת Trustwave בבלוג שלה. "סוג קובץ אחד שתפס את עינינו ב-6 בדצמבר 2022, היה הקובץ המצורף של OneNote שהוזכר לעיל, עם סיומת .one המצורפת למייל דואר זבל במערכת הטלמטריה שלנו."

דוח נפרד מ מחשב שיתף שהקבצים המצורפים מסווים את עצמם כמסמכים אמינים לעסקים, כולל חשבוניות, שרטוטים מכניים, הודעות משלוח DHL, טפסי העברה של ACH ומסמכי משלוח. עם זאת, אומרים שהקבצים הם קבצים מצורפים VBS זדוניים שיכולים להפעיל סקריפטים באופן אוטומטי כשהמשתמשים פשוט לוחצים עליהם פעמיים.

כדי לשטות במשתמשים, שחקני האיום משתמשים בפיתוי תמונה דרך שכבת-העל של סרגל "לחץ פעמיים כדי להציג קובץ" או "הצג מסמך" על הקבצים המצורפים. העברה או לחיצה על שכבת-על זו תציג את הקבצים המצורפים המרובים, ולחיצה כפולה בכל מקום בסרגל תגרום ללחיצה כפולה על הקובץ המצורף, ויגרום להפעלת הסקריפט.

בנימה חיובית, למיקרוסופט יש תמיד דרך להזהיר את המשתמשים מפני הסכנה הזו. ככזה, האפליקציה תציג אזהרה המציינת כי "פתיחת קבצים מצורפים עלולה להזיק למחשב ולנתונים שלך." זה המקום שבו המשתמשים יכולים לעשות את הטעות הגדולה ביותר על ידי אישור הקובץ המצורף באמצעות לחיצה פשוטה על כפתור "אישור", שרבים מתעלמים ממנו בדרך כלל.

לאחר הלחיצה, הסקריפט של VBS יוריד שני קבצים משרת מרוחק ויתקין אותם. על פי צילומי המסך ששיתפו על ידי מחשב, הקובץ הראשון נועד לשטות במשתמשים על ידי פתיחת מסמך OneNote בעל מראה חוקי. עם זאת, לצד זה יש הפעלה זדונית של קבצי אצווה ברקע, שתתקין את התוכנה הזדונית במכשיר. זה כולל את הטרויאנים עם גישה מרחוק (למשל, AsyncRAT, גישה מרחוק XWorm ו-Quasar Remote Access) עם יכולות גניבת מידע, החל מצילום מסך ורכישת סיסמאות שמורות לדפדפן ועד להקלטת סרטונים באמצעות מצלמות הרשת של המשתמש וגניבת ארנקי מטבעות קריפטוגרפיים.

למרבה הצער, ההגנה האולטימטיבית שמשתמשים יכולים להגיש כדי להציל את עצמם מהבעיות האמורות היא על ידי זהירות בפתיחת קבצים משולחים לא ידועים ומעקב אחר התראת האבטחה הסטנדרטית של המערכת והאפליקציה. ל-Trustwave, בינתיים, יש הצעה לארגונים.

"בסיכומו של דבר, קובץ WSF המוטמע במסמך OneNote צפוי לעוף מתחת לרדאר", אומר Trustwave. "זה גם אומר ש-OneNote יכול כעת להצטרף לרשימה של מסמכי Office אחרים שצריכים להיבדק עבור רכיבים זדוניים. כפי שהוזכר קודם לכן, זה לא אופייני לראות קבצי .one מצורפים למיילים. כצעד הקלה, ארגונים צריכים לשקול חסימה או סימון של קבצים מצורפים לדואר אלקטרוני נכנס עם סיומת .one."