Aviso: os hackers estão instalando malware por meio de anexos do Microsoft OneNote

Os hackers estão usando um novo formato de arquivo na forma de anexos do Microsoft OneNote para espalhar malware para os alvos. Clicar duas vezes nos anexos de spam maliciosos inicia automaticamente o script, resultando no download e instalação do malware de um site remoto. (Trustwave via Computador bleeping)

O OneNote continua sendo uma das partes relevantes do Microsoft 365. A gigante do software está continuamente introduzindo e ensaio novos recursos para o aplicativo, tornando-o uma rota decente para os hackers realizarem seus crimes. E em uma nova descoberta, os profissionais de segurança disseram que os malfeitores agora contam com os anexos do OneNote para instalar software malicioso nas máquinas das vítimas.

?
?? Correio malspam sendo entregue com documento onenote anexado
?? O anexo do Onenote contém um botão que, uma vez clicado, executa o arquivo exportado localizado em: "C:UsersuserAppDataLocalTempOneNote16.0Exported{UUID}NT" [1/3] pic.twitter.com/s6S7m18Fqo

— Tendências de ataque de ponto de percepção (@AttackTrends) 10 de janeiro de 2023

A aviso de especialistas em segurança começaram em dezembro do ano passado. A Trustwave, uma empresa de segurança cibernética, publicou um relatório no mês passado compartilhando a descoberta da nova estratégia.

“…Por meio dessa pesquisa contínua, descobrimos agentes de ameaças usando um documento do OneNote para mover o malware Formbook, um trojan de roubo de informações vendido em um fórum de hackers clandestino desde meados de 2016 como malware como serviço”, compartilha a Trustwave em seu blog. “Um tipo de arquivo que chamou nossa atenção em 6 de dezembro de 2022 foi o mencionado anexo do OneNote, com uma extensão .one anexada a um e-mail de spam em nosso sistema de telemetria.”

Um relatório separado de Computador bleeping compartilhou que os anexos se disfarçam como documentos confiáveis ​​para empresas, incluindo faturas, desenhos mecânicos, notificações de remessa DHL, formulários de remessa ACH e documentos de remessa. Os arquivos, no entanto, são considerados anexos VBS maliciosos que podem iniciar scripts automaticamente com os usuários simplesmente clicando duas vezes neles.

Para enganar os usuários, os agentes de ameaças usam uma isca de imagem por meio da sobreposição da barra “Clique duas vezes para visualizar o arquivo” ou “Exibir documento” sobre os anexos. Mover ou clicar nessa sobreposição mostrará os vários anexos, e clicar duas vezes em qualquer lugar da barra resultará em um clique duplo no anexo, causando a inicialização do script.

Em uma nota positiva, a Microsoft sempre tem uma maneira de alertar os usuários sobre esse perigo. Dessa forma, o aplicativo mostrará um aviso indicando que “a abertura de anexos pode prejudicar seu computador e seus dados”. É aqui que os usuários podem cometer o maior erro ao confirmar o anexo com um simples clique no botão “OK”, que é comumente ignorado por muitos.

Uma vez clicado, o script VBS baixará dois arquivos de um servidor remoto e os instalará. De acordo com as capturas de tela compartilhadas por Computador bleeping, o primeiro arquivo destina-se a enganar os usuários abrindo um documento do OneNote de aparência legítima. No entanto, ao lado disso, há uma execução maliciosa em segundo plano de um arquivo em lote, que instalará o malware no dispositivo. Isso inclui os trojans de acesso remoto (por exemplo, AsyncRAT, acesso remoto XWorm e trojans de acesso remoto Quasar) com recursos de roubo de informações, desde captura de tela e aquisição de senhas de navegador salvas até gravação de vídeos por meio de webcams do usuário e roubo de carteiras de criptomoedas.

Infelizmente, a proteção máxima que os usuários podem aplicar para evitar esses problemas é ser cauteloso ao abrir arquivos de remetentes desconhecidos e seguir o alerta de segurança padrão do sistema e do aplicativo. A Trustwave, por sua vez, tem uma sugestão para as organizações.

“Em suma, é provável que um arquivo WSF incorporado a um documento do OneNote passe despercebido”, diz Trustwave. “Isso também significa que o OneNote agora pode se juntar à lista de outros documentos do Office que precisam ser inspecionados quanto a componentes maliciosos. Conforme mencionado anteriormente, não é comum ver arquivos .one anexados a e-mails. Como uma etapa de mitigação, as organizações devem considerar bloquear ou sinalizar anexos de e-mail de entrada com uma extensão .one.”