Varning: Hackare installerar skadlig programvara via Microsoft OneNote-bilagor

Hackare använder ett nytt filformat i form av Microsoft OneNote-bilagor för att sprida skadlig programvara till mål. Om du dubbelklickar på de skadliga skräppostbilagorna startas skriptet automatiskt, vilket resulterar i att skadlig programvara från en fjärrplats laddas ner och installeras. (Trustwave via Bleeping Computer)

OneNote förblir en av de relevanta delarna av Microsoft 365. Mjukvarujätten är kontinuerligt införa och testning nya funktioner i appen, vilket gör det till en anständig väg för hackare att utföra sina brott. Och i en ny upptäckt sa säkerhetspersonal att dåliga aktörer nu förlitar sig på OneNote-bilagor för att installera skadlig programvara i offrens maskiner.

?
?? Malspam-post levereras med bifogat onenote-dokument
?? Onenote-bilaga innehåller en knapp som en gång klickat, den kör den exporterade filen som finns i: "C:UseruserAppDataLocalTempOneNote16.0Exported{UUID}NT" [1/3] pic.twitter.com/s6S7m18Fqo

— Perception Point Attack Trends (@AttackTrends) Januari 10, 2023

Smakämnen varning från säkerhetsexperter startade redan i december förra året. Trustwave, ett cybersäkerhetsföretag, publicerade en rapport förra månaden som delar upptäckten av den nya strategin.

"...Genom denna pågående forskning har vi avslöjat hotaktörer som använder ett OneNote-dokument för att flytta Formbook malware, en informationsstjälande trojan som sålts på ett underjordiskt hackingforum sedan mitten av 2016 som malware-as-a-service", delar Trustwave i sin blogg. "En filtyp som fångade vårt öga den 6 december 2022 var den tidigare nämnda OneNote-bilagan, med ett .one-tillägg kopplat till ett skräppostmeddelande i vårt telemetrisystem."

En separat rapport från Bleeping Computer delade att bilagorna maskerar sig som tillförlitliga dokument för företag, inklusive fakturor, mekaniska ritningar, DHL-fraktaviseringar, ACH-remitteringsformulär och fraktdokument. Filerna sägs dock vara skadliga VBS-bilagor som kan starta skript automatiskt genom att användarna helt enkelt dubbelklickar på dem.

För att lura användare använder hotaktörerna en bildlur genom "Dubbelklicka för att visa fil" eller "Visa dokument"-fältöverlägget över bilagorna. Om du flyttar eller klickar på det här överlägget visas de flera bilagorna, och dubbelklickning var som helst i fältet kommer att resultera i att du dubbelklickar på bilagan, vilket leder till att skriptet startas.

Positivt är att Microsoft alltid har ett sätt att varna användare för denna fara. Som sådan kommer appen att visa en varning som indikerar att "att öppna bilagor kan skada din dator och data." Det är här användare kan göra det största misstaget genom att bekräfta bilagan genom att klicka på "OK"-knappen, som ofta ignoreras av många.

När du klickar på det kommer VBS-skriptet att ladda ner två filer från en fjärrserver och installera dem. Enligt skärmdumparna som delas av Bleeping Computer, är den första filen tänkt att lura användare genom att öppna ett legitimt OneNote-dokument. Men vid sidan av detta är en skadlig batchfil bakgrundskörning, som kommer att installera skadlig programvara på enheten. Detta inkluderar fjärråtkomsttrojaner (t.ex. AsyncRAT, XWorm fjärråtkomst och Quasar Remote Access-trojaner) med förmåga att stjäla information, från att ta skärmdumpar och skaffa sparade webbläsarlösenord till att spela in videor via användarens webbkameror och stjäla kryptovaluta plånböcker.

Tyvärr är det ultimata skyddet användare kan ansöka om för att rädda sig själva från nämnda problem genom att vara försiktig med att öppna filer från okända avsändare och följa systemets och appens standardsäkerhetsvarning. Trustwave har samtidigt ett förslag till organisationer.

"Sammanfattningsvis kommer en WSF-fil inbäddad i ett OneNote-dokument sannolikt att flyga under radarn", säger Trustwave. "Det betyder också att OneNote nu kan gå med i listan över andra Office-dokument som måste inspekteras för skadliga komponenter. Som nämnts tidigare är det inte normalt att se .one-filer bifogade till e-postmeddelanden. Som ett dämpande steg bör organisationer överväga att blockera eller flagga inkommande e-postbilagor med ett .one-tillägg.”