警告：黑客正在通过 Microsoft OneNote 附件安装恶意软件

黑客正在使用 Microsoft OneNote 附件形式的新文件格式将恶意软件传播到目标。 双击恶意垃圾邮件附件会自动启动脚本，导致从远程站点下载并安装恶意软件。 (Trustwave 通过 计算机)

OneNote 仍然是 Microsoft 365 的相关部分之一。软件巨头不断 介绍 和 测试 该应用程序的新功能，使其成为黑客实施犯罪的好途径。 在一项新发现中，安全专家表示，不良行为者现在依靠 OneNote 附件将恶意软件安装到受害者的机器中。

?
？？ 附有 onenote 文档的垃圾邮件被发送
？？ Onenote 附件包含一个按钮，单击该按钮后，它会执行位于以下位置的导出文件：“C:UsersuserAppDataLocalTempOneNote16.0Exported{UUID}NT” [1/3] pic.twitter.com/s6S7m18Fqo

— 感知点攻击趋势 (@AttackTrends) 2023 年 1 月 10 日

警告 从去年 XNUMX 月开始，安全专家就开始了。 网络安全公司 Trustwave 上个月发布了一份报告，分享了新策略的发现。

“......通过这项正在进行的研究，我们发现了威胁行为者使用 OneNote 文档来移动 Formbook 恶意软件，这是一种信息窃取木马程序，自 2016 年年中以来作为恶意软件即服务在地下黑客论坛上出售，”Trustwave 在其博客中分享道。 “6 年 2022 月 XNUMX 日引起我们注意的一种文件类型是前面提到的 OneNote 附件，在我们的遥测系统中，垃圾邮件附加了 .one 扩展名。”

来自的单独报告 计算机 共享附件将自己伪装成可靠的企业文件，包括发票、机械图纸、DHL 运输通知、ACH 汇款单和运输文件。 然而，据说这些文件是恶意 VBS 附件，用户只需双击它们即可自动启动脚本。

为了愚弄用户，威胁行为者通过覆盖附件的“双击查看文件”或“查看文档”栏使用图像引诱。 移动或单击此叠加层将显示多个附件，双击栏中的任意位置将导致双击附件，从而启动脚本。

积极的一面是，微软总是有办法警告用户这种危险。 因此，该应用程序将显示一条警告，指出“打开附件可能会损害您的计算机和数据”。 这是用户可能犯下的最大错误，他们通过简单地单击“确定”按钮来确认附件，而这通常被许多人忽略。

单击后，VBS 脚本将从远程服务器下载两个文件并安装它们。 根据网友分享的截图 计算机，第一个文件是为了通过打开一个看起来合法的 OneNote 文档来欺骗用户。 然而，除此之外还有一个恶意批处理文件后台执行，它将在设备上安装恶意软件。 这包括具有信息窃取功能的远程访问木马（例如，AsyncRAT、XWorm 远程访问和 Quasar 远程访问木马），从截屏和获取保存的浏览器密码到通过用户的网络摄像头录制视频和窃取加密货币钱包。

不幸的是，用户可以应用的最终保护措施是谨慎打开来自未知发件人的文件并遵循系统和应用程序的标准安全警报，从而使自己免受上述问题的影响。 与此同时，Trustwave 对组织提出了建议。

“总而言之，OneNote 文档中嵌入的 WSF 文件很可能会被忽视，”Trustwave 说。 “这也意味着 OneNote 现在可以加入需要检查恶意组件的其他 Office 文档列表。 如前所述，通常不会在电子邮件中看到 .one 文件。 作为缓解措施，组织应考虑阻止或标记带有 .one 扩展名的入站电子邮件附件。”