警告: ハッカーが Microsoft OneNote の添付ファイルを介してマルウェアをインストールしています
3分。 読んだ
上で公開
この記事を共有する
このガイドを改善する
MSPoweruser の編集チームの維持にどのように貢献できるかについては、開示ページをお読みください。 続きを読む
ハッカーは、Microsoft OneNote の添付ファイルの形で新しいファイル形式を使用して、マルウェアをターゲットに拡散しています。 悪意のあるスパムの添付ファイルをダブルクリックすると、スクリプトが自動的に起動され、リモート サイトからマルウェアがダウンロードされてインストールされます。 (Trustwave 、 漂白コンピュータ)
OneNote は引き続き Microsoft 365 の関連部分の XNUMX つです。 導入 & テスト アプリに新機能が追加され、ハッカーが犯罪を実行するための適切なルートになります。 また、新たな発見として、セキュリティの専門家は、攻撃者が現在、OneNote の添付ファイルを利用して、悪意のあるソフトウェアを被害者のマシンにインストールしていると述べています。
?
?? onenote ドキュメントが添付されて配信されるマルスパム メール
?? Onenote の添付ファイルには、クリックされると次の場所にあるエクスポートされたファイルを実行するボタンが含まれています: "C:UsersuserAppDataLocalTempOneNote16.0Exported{UUID}NT" [1/3] pic.twitter.com/s6S7m18Fqo— 知覚ポイントの攻撃傾向 (@AttackTrends) 2023 年 1 月 10 日
警告 セキュリティの専門家から、昨年 XNUMX 月に開始されました。 サイバーセキュリティ企業の Trustwave は先月、新しい戦略の発見を共有するレポートを公開しました。
「…この継続的な調査を通じて、攻撃者が OneNote ドキュメントを使用して Formbook マルウェアを移動させていることを発見しました。Formbook マルウェアは、2016 年半ばからサービスとしてのマルウェアとして地下のハッキング フォーラムで販売されていた、情報を盗むトロイの木馬です。」Trustwave はブログで共有しています。 「6 年 2022 月 XNUMX 日に私たちの目に留まったファイルの種類の XNUMX つは、前述の OneNote の添付ファイルで、.one 拡張子がテレメトリ システムのスパム メールに添付されていました。」
別のレポート 漂白コンピュータ 添付ファイルは、請求書、機械図面、DHL 出荷通知、ACH 送金フォーム、出荷書類など、企業にとって信頼できる文書に偽装していることを共有しました。 ただし、これらのファイルは、ユーザーがファイルをダブルクリックするだけでスクリプトを自動的に起動できる、悪意のある VBS 添付ファイルであると言われています。
ユーザーをだますために、攻撃者は添付ファイルの上にある「ダブルクリックしてファイルを表示」または「ドキュメントを表示」バー オーバーレイを介して画像ルアーを使用します。 このオーバーレイを移動またはクリックすると、複数の添付ファイルが表示されます。バーの任意の場所をダブルクリックすると、添付ファイルがダブルクリックされ、スクリプトが起動します。
良い点として、Microsoft は常にこの危険性をユーザーに警告する方法を持っています。 そのため、アプリは「添付ファイルを開くとコンピューターとデータに損害を与える可能性があります」という警告を表示します。 これは、ユーザーが「OK」ボタンをクリックするだけで添付ファイルを承認するという最大の間違いを犯す可能性がある場所ですが、これは一般的に多くの人に無視されています。
クリックすると、VBS スクリプトがリモート サーバーから XNUMX つのファイルをダウンロードしてインストールします。 によって共有されたスクリーンショットによると 漂白コンピュータ、最初のファイルは、正当に見える OneNote ドキュメントを開いてユーザーを騙すことを目的としています。 ただし、これと並行して悪意のあるバッチ ファイルがバックグラウンドで実行され、マルウェアがデバイスにインストールされます。 これには、リモート アクセス トロイの木馬 (AsyncRAT、XWorm リモート アクセス、Quasar リモート アクセス トロイの木馬など) が含まれ、スクリーンショットを撮ったり、保存されたブラウザ パスワードを取得したり、ユーザーの Web カメラを介してビデオを録画したり、暗号通貨ウォレットを盗んだりするなど、情報を盗む機能を備えています。
残念ながら、ユーザーが上記の問題から身を守るために適用できる究極の保護は、不明な送信者からのファイルを開くことに注意し、システムとアプリの標準のセキュリティ アラートに従うことです。 一方、Trustwave は、組織向けの提案を行っています。
「要するに、OneNote ドキュメントに埋め込まれた WSF ファイルは、目立たない可能性が高いのです」と Trustwave は言います。 「これはまた、OneNote が、悪意のあるコンポーネントを検査する必要がある他の Office ドキュメントのリストに追加できるようになったことを意味します。 前述のように、メールに .one ファイルが添付されているのは一般的ではありません。 緩和策として、組織は.one 拡張子を持つインバウンド電子メールの添付ファイルをブロックまたはフラグ付けすることを検討する必要があります。」
