Cảnh báo: Tin tặc đang cài đặt phần mềm độc hại thông qua tệp đính kèm Microsoft OneNote

Tin tặc đang sử dụng một định dạng tệp mới dưới dạng tệp đính kèm Microsoft OneNote để phát tán phần mềm độc hại tới các mục tiêu. Nhấp đúp vào tệp đính kèm thư rác độc hại sẽ tự động khởi chạy tập lệnh, dẫn đến phần mềm độc hại từ một trang web từ xa được tải xuống và cài đặt. (Tin cậy thông qua Máy tính ngủ đêm)

OneNote vẫn là một trong những phần có liên quan của Microsoft 365. Gã khổng lồ phần mềm liên tục giới thiệu và thử nghiệm các tính năng mới cho ứng dụng, khiến nó trở thành một lộ trình hợp lý để tin tặc thực hiện tội ác của chúng. Và trong một phát hiện mới, các chuyên gia bảo mật cho biết những kẻ xấu hiện đang dựa vào các tệp đính kèm OneNote để cài đặt phần mềm độc hại vào máy của nạn nhân.

?
?? Thư Malspam được gửi cùng với tài liệu onenote đính kèm
?? Tệp đính kèm Onenote chứa một nút mà sau khi được bấm, nó sẽ thực thi tệp đã xuất nằm trong: "C:UsersuserAppDataLocalTempOneNote16.0Exported{UUID}NT" [1/3] pic.twitter.com/s6S7m18Fqo

- Xu hướng tấn công điểm nhận thức (@AttackTrends) 10 Tháng một, 2023

Sản phẩm cảnh báo từ các chuyên gia bảo mật đã bắt đầu ngay từ tháng XNUMX năm ngoái. Trustwave, một công ty an ninh mạng, đã xuất bản một báo cáo vào tháng trước chia sẻ việc khám phá ra chiến lược mới.

“…Thông qua nghiên cứu đang diễn ra này, chúng tôi đã phát hiện ra các tác nhân đe dọa sử dụng tài liệu OneNote để di chuyển phần mềm độc hại Formbook, một trojan đánh cắp thông tin được bán trên một diễn đàn hack ngầm từ giữa năm 2016 dưới dạng phần mềm độc hại dưới dạng dịch vụ,” Trustwave chia sẻ trên blog của mình. “Một loại tệp đã thu hút sự chú ý của chúng tôi vào ngày 6 tháng 2022 năm XNUMX, là tệp đính kèm OneNote đã nói ở trên, với phần mở rộng .one được đính kèm với một email spam trong hệ thống đo từ xa của chúng tôi.”

Một báo cáo riêng biệt từ Máy tính ngủ đêm chia sẻ rằng các tệp đính kèm ngụy trang thành tài liệu đáng tin cậy cho doanh nghiệp, bao gồm hóa đơn, bản vẽ cơ khí, thông báo vận chuyển DHL, biểu mẫu chuyển tiền ACH và chứng từ vận chuyển. Tuy nhiên, các tệp được cho là tệp đính kèm VBS độc hại có thể tự động khởi chạy các tập lệnh mà người dùng chỉ cần nhấp đúp vào chúng.

Để đánh lừa người dùng, những kẻ đe dọa sử dụng một hình ảnh thu hút thông qua lớp phủ thanh “Nhấp đúp để xem tệp” hoặc “Xem tài liệu” trên các tệp đính kèm. Di chuyển hoặc nhấp vào lớp phủ này sẽ hiển thị nhiều tệp đính kèm và nhấp đúp vào bất kỳ đâu trên thanh sẽ dẫn đến việc nhấp đúp vào tệp đính kèm, khiến tập lệnh khởi chạy.

Một lưu ý tích cực là Microsoft luôn có cách cảnh báo người dùng về mối nguy hiểm này. Do đó, ứng dụng sẽ hiển thị cảnh báo cho biết “việc mở tệp đính kèm có thể gây hại cho máy tính và dữ liệu của bạn”. Đây là nơi người dùng có thể mắc sai lầm lớn nhất khi xác nhận tệp đính kèm thông qua một lần nhấp đơn giản vào nút “OK”, nút này thường bị nhiều người bỏ qua.

Sau khi nhấp vào, tập lệnh VBS sẽ tải xuống hai tệp từ máy chủ từ xa và cài đặt chúng. Theo ảnh chụp màn hình được chia sẻ bởi Máy tính ngủ đêm, tệp đầu tiên nhằm đánh lừa người dùng bằng cách mở một tài liệu OneNote trông có vẻ hợp pháp. Tuy nhiên, bên cạnh đó là quá trình thực thi nền tệp hàng loạt độc hại sẽ cài đặt phần mềm độc hại trên thiết bị. Điều này bao gồm các trojan truy cập từ xa (ví dụ: AsyncRAT, truy cập từ xa XWorm và trojan Quasar Remote Access) với khả năng đánh cắp thông tin, từ chụp ảnh màn hình và lấy mật khẩu trình duyệt đã lưu để quay video qua webcam của người dùng và đánh cắp ví tiền điện tử.

Thật không may, biện pháp bảo vệ cuối cùng mà người dùng có thể áp dụng để tự cứu mình khỏi những sự cố nói trên là thận trọng khi mở tệp từ những người gửi không xác định và tuân theo cảnh báo bảo mật tiêu chuẩn của hệ thống và ứng dụng. Trustwave, trong khi đó, có một gợi ý cho các tổ chức.

Trustwave cho biết: “Tóm lại, một tệp WSF được nhúng trong tài liệu OneNote có khả năng bị phát hiện. “Điều đó cũng có nghĩa là OneNote hiện có thể tham gia danh sách các Tài liệu Office khác cần được kiểm tra để tìm các thành phần độc hại. Như đã đề cập trước đó, việc xem các tệp .one được đính kèm trong email không phải là điều bình thường. Là một bước giảm thiểu, các tổ chức nên xem xét việc chặn hoặc gắn cờ các tệp đính kèm email gửi đến bằng phần mở rộng .one.”