경고: 해커가 Microsoft OneNote 첨부 파일을 통해 맬웨어를 설치하고 있습니다.

홈페이지 » Office » 사무실 365

3 분. 읽다

에 게시됨 2023 년 1 월 23 일

by 샤론 베넷

에 게시 2023 년 1 월 23 일

이 기사 공유

이 가이드를 개선하세요

독자들은 MSpoweruser를 지원하는 데 도움을 줍니다. 당사의 링크를 통해 구매하시면 수수료를 받을 수 있습니다.

해커는 Microsoft OneNote 첨부 파일 형식의 새로운 파일 형식을 사용하여 맬웨어를 대상에 전파하고 있습니다. 악성 스팸 첨부 파일을 두 번 클릭하면 자동으로 스크립트가 실행되어 원격 사이트에서 악성코드가 다운로드 및 설치됩니다. (Trustwave 를 통해 멍청한 컴퓨터)

OneNote는 여전히 Microsoft 365의 관련 부분 중 하나입니다. 이 거대 소프트웨어는 지속적으로 소개 and 테스트 앱에 새로운 기능을 추가하여 해커가 범죄를 저지르는 적절한 경로로 만듭니다. 그리고 새로운 발견에서 보안 전문가들은 악의적인 행위자가 이제 OneNote 첨부 파일에 의존하여 피해자의 컴퓨터에 악성 소프트웨어를 설치하고 있다고 말했습니다.

?
?? 첨부된 원노트 문서와 함께 전달되는 악성 스팸 메일
?? Onenote 첨부 파일에는 클릭하면 "C:UsersuserAppDataLocalTempOneNote16.0Exported{UUID}NT"에 있는 내보낸 파일이 실행되는 버튼이 포함되어 있습니다. [1/3] pic.twitter.com/s6S7m18Fqo

— Perception Point 공격 트렌드(@AttackTrends) 2023 년 1 월 10 일

이 어플리케이션에는 XNUMXµm 및 XNUMXµm 파장에서 최대 XNUMXW의 평균 출력을 제공하는 경고 빠르면 지난해 XNUMX월부터 보안 전문가들로부터 시작됐다. 사이버 보안 회사인 Trustwave는 지난달 새로운 전략의 발견을 공유하는 보고서를 발표했습니다.

"...이 진행 중인 연구를 통해 우리는 2016년 중반부터 지하 해킹 포럼에서 서비스로서의 맬웨어로 판매된 정보 도용 트로이 목마인 Formbook 맬웨어를 이동하기 위해 OneNote 문서를 사용하는 위협 행위자를 발견했습니다."라고 Trustwave는 블로그에서 공유합니다. "6년 2022월 XNUMX일에 우리의 눈을 사로잡은 한 가지 파일 형식은 앞서 언급한 원격 분석 시스템의 스팸 이메일에 .one 확장자가 첨부된 OneNote 첨부 파일이었습니다."

와 별도의 보고서 멍청한 컴퓨터 송장, 기계 도면, DHL 배송 알림, ACH 송금 양식 및 배송 문서를 포함하여 첨부 파일이 비즈니스를 위한 신뢰할 수 있는 문서로 위장했다고 공유했습니다. 그러나이 파일은 사용자가 단순히 두 번 클릭하면 자동으로 스크립트를 시작할 수있는 악성 VBS 첨부 파일이라고합니다.

사용자를 속이기 위해 위협 행위자는 첨부 파일 위에 "파일을 보려면 두 번 클릭" 또는 "문서 보기" 표시줄 오버레이를 통해 이미지 미끼를 사용합니다. 이 오버레이를 이동하거나 클릭하면 여러 첨부 파일이 표시되고 막대의 아무 곳이나 두 번 클릭하면 첨부 파일이 두 번 클릭되어 스크립트가 시작됩니다.

긍정적인 점에서 Microsoft는 항상 사용자에게 이러한 위험을 경고하는 방법을 가지고 있습니다. 따라서 앱에는 "첨부 파일을 열면 컴퓨터와 데이터가 손상될 수 있습니다."라는 경고가 표시됩니다. 이것은 사용자가 "확인" 버튼의 간단한 클릭을 통해 첨부 파일을 확인함으로써 많은 사람들이 일반적으로 무시하는 가장 큰 실수를 범할 수 있는 곳입니다.

클릭하면 VBS 스크립트가 원격 서버에서 두 개의 파일을 다운로드하여 설치합니다. 공유한 스크린샷에 따르면 멍청한 컴퓨터, 첫 번째 파일은 합법적인 것처럼 보이는 OneNote 문서를 열어 사용자를 속이기 위한 것입니다. 그러나 이와 함께 기기에 악성코드를 설치하는 악성 배치 파일 백그라운드 실행이 있습니다. 여기에는 스크린샷을 찍고 저장된 브라우저 암호를 획득하는 것부터 사용자의 웹캠을 통해 비디오를 녹화하고 암호화폐 지갑을 훔치는 것까지 정보를 훔치는 기능이 있는 원격 액세스 트로이 목마(예: AsyncRAT, XWorm 원격 액세스 및 Quasar 원격 액세스 트로이 목마)가 포함됩니다.

불행하게도 사용자가 이러한 문제로부터 자신을 보호하기 위해 적용할 수 있는 궁극적인 보호는 알 수 없는 발신자가 보낸 파일을 열 때 주의를 기울이고 시스템 및 앱의 표준 보안 경고를 따르는 것입니다. 한편 Trustwave는 조직을 위한 제안을 합니다.

트러스트웨이브는 “결국 원노트 문서에 내장된 WSF 파일은 눈에 띄지 않을 가능성이 높다”고 말했다. “또한 이제 OneNote가 악성 구성 요소를 검사해야 하는 다른 Office 문서 목록에 합류할 수 있음을 의미합니다. 앞서 언급했듯이 이메일에 첨부된 .one 파일을 보는 것은 일반적이지 않습니다. 완화 단계로 조직은 확장자가 .one인 인바운드 이메일 첨부 파일을 차단하거나 플래그를 지정하는 것을 고려해야 합니다.”