Advarsel: Hackere installerer skadelig programvare via Microsoft OneNote-vedlegg

Hackere bruker et nytt filformat i form av Microsoft OneNote-vedlegg for å spre skadelig programvare til mål. Ved å dobbeltklikke på de ondsinnede spam-vedleggene startes skriptet automatisk, noe som resulterer i at skadelig programvare fra et eksternt nettsted lastes ned og installeres. (Trustwave av Bleeping Computer)

OneNote er fortsatt en av de relevante delene av Microsoft 365. Programvaregiganten er kontinuerlig innføre og testing nye funksjoner til appen, noe som gjør det til en anstendig rute for hackere å utføre sine forbrytelser. Og i en ny oppdagelse sa sikkerhetseksperter at dårlige aktører nå er avhengige av OneNote-vedlegg for å installere skadelig programvare på ofrenes maskiner.

?
?? Malspam-post blir levert med vedlagt onenote-dokument
?? Onenote-vedlegg inneholder en knapp som en gang klikket, kjører den eksporterte filen som ligger i: "C:UseruserAppDataLocalTempOneNote16.0Exported{UUID}NT" [1/3] pic.twitter.com/s6S7m18Fqo

— Perception Point Attack Trends (@AttackTrends) Januar 10, 2023

De advarsel fra sikkerhetseksperter startet allerede i desember i fjor. Trustwave, et cybersikkerhetsselskap, publiserte en rapport forrige måned som delte oppdagelsen av den nye strategien.

"...Gjennom denne pågående forskningen har vi avdekket trusselaktører som bruker et OneNote-dokument for å flytte Formbook malware, en informasjonsstjelende trojaner solgt på et underjordisk hackingforum siden midten av 2016 som malware-as-a-service," sier Trustwave i bloggen sin. «En filtype som fanget vårt øye 6. desember 2022, var det nevnte OneNote-vedlegget, med en .one-utvidelse knyttet til en spam-e-post i vårt telemetrisystem.»

En egen rapport fra Bleeping Computer delte at vedleggene skjuler seg som pålitelige dokumenter for bedrifter, inkludert fakturaer, mekaniske tegninger, DHL-fraktmeldinger, ACH-overføringsskjemaer og fraktdokumenter. Filene sies imidlertid å være ondsinnede VBS-vedlegg som kan starte skript automatisk ved at brukerne bare dobbeltklikker på dem.

For å lure brukere bruker trusselaktørene et bildelokk gjennom «Dobbeltklikk for å se fil» eller «Vis dokument»-linjeoverlegg over vedleggene. Hvis du flytter eller klikker på dette overlegget, vises de flere vedleggene, og å dobbeltklikke hvor som helst på linjen vil resultere i dobbeltklikk på vedlegget, noe som forårsaker lansering av skriptet.

På en positiv måte har Microsoft alltid en måte å advare brukere om denne faren på. Som sådan vil appen vise en advarsel som indikerer at "åpning av vedlegg kan skade datamaskinen og dataene dine." Det er her brukere kan gjøre den største feilen ved å bekrefte vedlegget ved å klikke på "OK"-knappen, som ofte ignoreres av mange.

Når det er klikket, vil VBS-skriptet laste ned to filer fra en ekstern server og installere dem. I følge skjermbildene delt av Bleeping Computer, er den første filen ment å lure brukere ved å åpne et seriøst OneNote-dokument. Men ved siden av dette er en ondsinnet batch-fil bakgrunnskjøring, som vil installere skadelig programvare på enheten. Dette inkluderer fjerntilgangstrojanere (f.eks. AsyncRAT, XWorm fjerntilgang og Quasar Remote Access-trojanere) med evne til å stjele informasjon, fra å ta skjermbilder og skaffe lagrede nettleserpassord til å ta opp videoer via brukerens webkameraer og stjele kryptovaluta-lommebøker.

Dessverre er den ultimate beskyttelsen brukere kan søke for å redde seg selv fra de nevnte problemene ved å være forsiktige med å åpne filer fra ukjente avsendere og følge systemets og appens standard sikkerhetsvarsel. Trustwave har i mellomtiden et forslag til organisasjoner.

"I sum, en WSF-fil innebygd i et OneNote-dokument vil sannsynligvis fly under radaren," sier Trustwave. "Det betyr også at OneNote nå kan bli med på listen over andre Office-dokumenter som må inspiseres for skadelige komponenter. Som nevnt tidligere, er det ikke vanlig å se .one-filer vedlagt e-poster. Som et avbøtende skritt bør organisasjoner vurdere å blokkere eller flagge innkommende e-postvedlegg med en .one-utvidelse.»