警告：黑客正在通過 Microsoft OneNote 附件安裝惡意軟件

黑客正在使用 Microsoft OneNote 附件形式的新文件格式將惡意軟件傳播到目標。 雙擊惡意垃圾郵件附件會自動啟動腳本，導致從遠程站點下載並安裝惡意軟件。 (Trustwave 通過 計算機)

OneNote 仍然是 Microsoft 365 的相關部分之一。軟件巨頭不斷 介紹 和 測試 該應用程序的新功能，使其成為黑客實施犯罪的好途徑。 在一項新發現中，安全專家表示，不良行為者現在依靠 OneNote 附件將惡意軟件安裝到受害者的機器中。

?
？？ 附有 onenote 文檔的垃圾郵件被發送
？？ Onenote 附件包含一個按鈕，單擊該按鈕後，它會執行位於以下位置的導出文件：“C:UsersuserAppDataLocalTempOneNote16.0Exported{UUID}NT” [1/3] pic.twitter.com/s6S7m18Fqo

— 感知點攻擊趨勢 (@AttackTrends) 2023 年 1 月 10 日

警告 從去年 XNUMX 月開始，安全專家就開始了。 網絡安全公司 Trustwave 上個月發布了一份報告，分享了新策略的發現。

“......通過這項正在進行的研究，我們發現威脅行為者使用 OneNote 文檔移動 Formbook 惡意軟件，這是一種信息竊取木馬，自 2016 年年中以來作為惡意軟件即服務在地下黑客論壇上出售，”Trustwave 在其博客中分享道。 “6 年 2022 月 XNUMX 日引起我們注意的一種文件類型是前面提到的 OneNote 附件，在我們的遙測系統中，垃圾郵件附加了 .one 擴展名。”

來自的單獨報告 計算機 共享附件將自己偽裝成可靠的企業文件，包括發票、機械圖紙、DHL 運輸通知、ACH 匯款單和運輸文件。 然而，據說這些文件是惡意 VBS 附件，用戶只需雙擊它們即可自動啟動腳本。

為了愚弄用戶，威脅行為者通過覆蓋附件的“雙擊查看文件”或“查看文檔”欄使用圖像引誘。 移動或單擊此疊加層將顯示多個附件，雙擊欄中的任意位置將導致雙擊附件，從而啟動腳本。

積極的一面是，微軟總是有辦法警告用戶這種危險。 因此，該應用程序將顯示一條警告，指出“打開附件可能會損害您的計算機和數據”。 這是用戶可能犯下的最大錯誤，他們通過簡單地單擊“確定”按鈕來確認附件，而這通常被許多人忽略。

單擊後，VBS 腳本將從遠程服務器下載兩個文件並安裝它們。 根據網友分享的截圖 計算機，第一個文件是為了通過打開一個看起來合法的 OneNote 文檔來欺騙用戶。 然而，除此之外還有一個惡意批處理文件後台執行，它將在設備上安裝惡意軟件。 這包括具有信息竊取功能的遠程訪問木馬（例如，AsyncRAT、XWorm 遠程訪問和 Quasar 遠程訪問木馬），從截屏和獲取保存的瀏覽器密碼到通過用戶的網絡攝像頭錄製視頻和竊取加密貨幣錢包。

不幸的是，用戶可以應用的最終保護措施是謹慎打開來自未知發件人的文件並遵循系統和應用程序的標準安全警報，從而使自己免受上述問題的影響。 與此同時，Trustwave 對組織提出了建議。

“總而言之，OneNote 文檔中嵌入的 WSF 文件很可能會被忽視，”Trustwave 說。 “這也意味著 OneNote 現在可以加入需要檢查惡意組件的其他 Office 文檔列表。 如前所述，通常不會在電子郵件中看到 .one 文件。 作為緩解措施，組織應考慮阻止或標記帶有 .one 擴展名的入站電子郵件附件。”