Avertisment: Hackerii instalează programe malware prin atașamentele Microsoft OneNote

Hackerii folosesc un nou format de fișier sub formă de atașamente Microsoft OneNote pentru a răspândi programe malware către ținte. Făcând dublu clic pe atașamentele de spam rău intenționat, se lansează automat scriptul, ceea ce duce la descărcarea și instalarea malware-ului de pe un site la distanță. (Trustwave de Bleeping Computer)

OneNote rămâne una dintre părțile relevante ale Microsoft 365. Gigantul software este continuu introducerea și de testare noi funcții pentru aplicație, făcându-l o cale decentă pentru hackeri de a-și îndeplini crimele. Și într-o nouă descoperire, profesioniștii în securitate au spus că actorii răi se bazează acum pe atașamentele OneNote pentru a instala software rău intenționat în mașinile victimelor.

?
?? E-mailul Malspam este livrat cu document onenote atașat
?? Atașamentul Onenote conține un buton pe care, odată dat clic, execută fișierul exportat situat în: „C:UsersuserAppDataLocalTempOneNote16.0Exported{UUID}NT” [1/3] pic.twitter.com/s6S7m18Fqo

— Tendințe de atac la punctul de percepție (@AttackTrends) Ianuarie 10, 2023

de avertizare de la experți în securitate a început încă din decembrie anul trecut. Trustwave, o companie de securitate cibernetică, a publicat luna trecută un raport care împărtășește descoperirea noii strategii.

„…Prin această cercetare în curs, am descoperit actori de amenințări care foloseau un document OneNote pentru a muta malware Formbook, un troian de furt de informații vândut pe un forum de hacking subteran de la jumătatea anului 2016 ca malware-as-a-service”, transmite Trustwave pe blogul său. „Un tip de fișier care ne-a atras atenția pe 6 decembrie 2022 a fost atașamentul OneNote menționat mai sus, cu o extensie .one atașată unui e-mail spam în sistemul nostru de telemetrie.”

Un raport separat de Bleeping Computer a spus că atașamentele se deghizează în documente de încredere pentru companii, inclusiv facturi, desene mecanice, notificări de expediere DHL, formulare de remitere ACH și documente de expediere. Cu toate acestea, se spune că fișierele sunt atașamente VBS rău intenționate, care pot lansa scripturi automat cu utilizatorii pur și simplu făcând dublu clic pe ele.

Pentru a păcăli utilizatorii, actorii amenințărilor folosesc o imagine prin suprapunerea barei „Dublu clic pentru a vizualiza fișierul” sau „Vizualizare document” peste atașamente. Mutarea sau făcând clic pe această suprapunere va afișa mai multe atașamente, iar dublu clic oriunde pe bară va duce la dublu clic pe atașament, provocând lansarea scriptului.

Pe o notă pozitivă, Microsoft are întotdeauna o modalitate de a avertiza utilizatorii despre acest pericol. Ca atare, aplicația va afișa un avertisment care indică faptul că „deschiderea atașamentelor ar putea dăuna computerului și datelor”. Aici utilizatorii ar putea face cea mai mare greșeală confirmând atașamentul printr-un simplu clic pe butonul „OK”, care este de obicei ignorat de mulți.

Odată făcut clic, scriptul VBS va descărca două fișiere de pe un server la distanță și le va instala. Conform capturilor de ecran distribuite de Bleeping Computer, primul fișier este menit să păcălească utilizatorii prin deschiderea unui document OneNote cu aspect legitim. Cu toate acestea, alături de aceasta este o execuție de fundal a fișierelor batch rău intenționate, care va instala malware-ul pe dispozitiv. Aceasta include troienii de acces la distanță (de exemplu, troienii AsyncRAT, XWorm de acces la distanță și Quasar Remote Access) cu capacități de furt de informații, de la realizarea de capturi de ecran și achiziționarea parolelor salvate de browser până la înregistrarea videoclipurilor prin camerele web ale utilizatorului și furtul portofelelor cu criptomonede.

Din păcate, protecția supremă pe care utilizatorii o pot aplica pentru a se salva de problemele menționate este prin a fi precauți în deschiderea fișierelor de la expeditori necunoscuți și în urma alertei de securitate standard a sistemului și a aplicației. Între timp, Trustwave are o sugestie pentru organizații.

„În rezumat, un fișier WSF încorporat într-un document OneNote este probabil să zboare sub radar”, spune Trustwave. „Înseamnă, de asemenea, că OneNote se poate alătura acum listei altor documente Office care trebuie inspectate pentru componente rău intenționate. După cum am menționat mai devreme, nu este obișnuit să vedeți fișiere .one atașate la e-mailuri. Ca pas de atenuare, organizațiile ar trebui să ia în considerare blocarea sau semnalarea atașamentelor de e-mail de intrare cu o extensie .one.”