Uyarı: Bilgisayar korsanları, Microsoft OneNote ekleri aracılığıyla kötü amaçlı yazılım yüklüyor

Bilgisayar korsanları, kötü amaçlı yazılımları hedeflere yaymak için Microsoft OneNote ekleri biçiminde yeni bir dosya biçimi kullanıyor. Kötü amaçlı spam eklerine çift tıklandığında, komut dosyası otomatik olarak başlatılır ve bu da kötü amaçlı yazılımın uzak bir siteden indirilip yüklenmesiyle sonuçlanır. (Trustwave üzerinden Bleeping Bilgisayarı)

OneNote, Microsoft 365'in ilgili parçalarından biri olmaya devam ediyor. Yazılım devi sürekli olarak tanıtım ve test yapmak Uygulamaya gelen yeni özellikler, onu bilgisayar korsanlarının suçlarını gerçekleştirmeleri için uygun bir yol haline getiriyor. Ve yeni bir keşifte, güvenlik uzmanları, kötü aktörlerin artık kurbanların makinelerine kötü amaçlı yazılım yüklemek için OneNote eklerine güvendiklerini söyledi.

?
?? Ekli onenote belgesiyle teslim edilen kötü amaçlı spam postası
?? Onenote eki, tıklandığında şu konumda bulunan dışa aktarılan dosyayı yürüten bir düğme içerir: "C:UsersuserAppDataLocalTempOneNote16.0Exported{UUID}NT" [1/3] pic.twitter.com/s6S7m18Fqo

— Algı Noktası Saldırı Trendleri (@AttackTrends) Ocak 10, 2023

The uyarı güvenlik uzmanlarından, geçen yıl Aralık ayında başladı. Bir siber güvenlik şirketi olan Trustwave, geçen ay yeni stratejinin keşfini paylaşan bir rapor yayınladı.

Trustwave, blogunda "…Devam eden bu araştırma sayesinde, 2016'nın ortalarından beri bir yer altı bilgisayar korsanlığı forumunda hizmet olarak kötü amaçlı yazılım olarak satılan bir bilgi çalma truva atı olan Formbook kötü amaçlı yazılımını taşımak için bir OneNote belgesi kullanan tehdit aktörlerini ortaya çıkardık" diyor. "6 Aralık 2022'de gözümüze çarpan dosya türlerinden biri, telemetri sistemimizde bir spam e-postaya eklenmiş bir .one uzantısıyla birlikte yukarıda bahsedilen OneNote ekiydi."

Dan ayrı bir rapor Bleeping Bilgisayarı faturalar, mekanik çizimler, DHL gönderi bildirimleri, ACH havale formları ve gönderi belgeleri dahil olmak üzere eklerin işletmeler için güvenilir belgeler gibi göründüğünü paylaştı. Ancak dosyaların, kullanıcıların yalnızca çift tıklamasıyla komut dosyalarını otomatik olarak başlatabilen kötü amaçlı VBS ekleri olduğu söyleniyor.

Tehdit aktörleri, kullanıcıları kandırmak için eklerin üzerindeki "Dosyayı görüntülemek için çift tıklayın" veya "Belgeyi Görüntüle" çubuğu yer paylaşımı aracılığıyla bir görüntü tuzağı kullanır. Bu bindirmeyi taşımak veya tıklamak birden çok eki gösterecek ve çubuğun herhangi bir yerine çift tıklamak ekin çift tıklanmasıyla sonuçlanacak ve komut dosyasının başlatılmasına neden olacaktır.

Olumlu bir kayda göre, Microsoft her zaman kullanıcıları bu tehlikeye karşı uyarma yoluna sahiptir. Bu nedenle uygulama, "ekleri açmanın bilgisayarınıza ve verilerinize zarar verebileceğini" belirten bir uyarı gösterecektir. Burası, kullanıcıların çoğu kişi tarafından genellikle göz ardı edilen "Tamam" düğmesine basit bir tıklamayla eki onaylayarak en büyük hatayı yapabilecekleri yerdir.

Tıklandığında, VBS betiği uzak bir sunucudan iki dosya indirecek ve kuracaktır. tarafından paylaşılan ekran görüntülerine göre Bleeping Bilgisayarı, ilk dosya, yasal görünen bir OneNote belgesi açarak kullanıcıları kandırmak içindir. Bununla birlikte, bunun yanı sıra, kötü amaçlı yazılımı cihaza yükleyecek olan kötü amaçlı bir toplu iş dosyası arka plan yürütmesi de vardır. Buna, ekran görüntüleri almaktan ve kayıtlı tarayıcı şifrelerini almaktan kullanıcının web kameraları aracılığıyla video kaydetmeye ve kripto para cüzdanlarını çalmaya kadar bilgi çalma yetenekleri olan uzaktan erişim truva atları (örn. AsyncRAT, XWorm uzaktan erişim ve Quasar Uzaktan Erişim truva atları) dahildir.

Ne yazık ki, kullanıcıların kendilerini söz konusu sorunlardan kurtarmak için uygulayabilecekleri nihai koruma, bilinmeyen gönderenlerden gelen dosyaları açarken dikkatli olmak ve sistemin ve uygulamanın standart güvenlik uyarısını takip etmektir. Trustwave'in ise kuruluşlar için bir önerisi var.

Trustwave, "Özetle, bir OneNote belgesine katıştırılmış bir WSF dosyasının gözden kaçması muhtemeldir" diyor. "Ayrıca, OneNote'un artık kötü amaçlı bileşenler açısından incelenmesi gereken diğer Office Belgeleri listesine katılabileceği anlamına da geliyor. Daha önce belirtildiği gibi, e-postalara eklenmiş .one dosyalarını görmek normal değildir. Bir hafifletme adımı olarak kuruluşlar, gelen e-posta eklerini bir .one uzantısıyla engellemeyi veya işaretlemeyi düşünmelidir."