OneNote Malware

يستخدم الممثلون الشريرون مرفقات Microsoft OneNote في رسائل البريد الإلكتروني المخادعة لنشر البرامج الضارة. تحتوي هذه المرفقات غير الآمنة على برامج ضارة للوصول عن بُعد يمكن استخدامها لتثبيت حمولات ضارة إضافية أو تجميع كلمات المرور. لسنوات ، كان المهاجمون يرسلون مستندات Word و Excel مسلحة عبر البريد الإلكتروني ، والتي تطلق وحدات الماكرو لتنزيل البرامج الضارة وتثبيتها. ومع ذلك ، من المحتمل أن يكون قرار Microsoft بحظر وحدات الماكرو تلقائيًا على مستندات MS Office قد تسبب في تحول المتسللين إلى إساءة استخدام OneNote بدلاً من ذلك. الآن ، يقومون بتعديل مستندات التنسيق الشرعية من خلال تضمينها مع محتوى ضار ، مما يؤدي إلى بدء عملية تنزيل / تثبيت البرامج الضارة عند التفاعل معها.

انتشار الحمولات المهددة عبر ملفات OneNote ذات أحصنة طروادة

عادةً ما تنتشر ملفات OneNote التي تحمل برامج ضارة عبر حملات البريد العشوائي ، إما كمرفقات أو عبر روابط التنزيل. اثنان من تهديدات البرامج الضارة التي لوحظ أنه يتم نشرهما بهذه الطريقة تشمل طروادة Qakbot Banking و RedLine Stealer . يستهدف Qakbot المعلومات المتعلقة بالتمويل ويمكن أن يبدأ سلسلة من العدوى ، بينما تم تصميم RedLine Stealer لاستخراج البيانات الحساسة من الأجهزة المصابة.

عادةً ما تكون رسائل البريد الإلكتروني العشوائية المستخدمة لتوزيع ملفات OneNote المخترقة غير شخصية ، حيث تشير بعض رسائل البريد الإلكتروني العشوائية فقط إلى الاسم الأخير للمستلم في سطور موضوعاتها. تحتوي ملفات OneNote على تطبيق HTML (ملف HTA) مضمن داخلها ، والذي عند النقر عليه ، من شأنه أن يعزز تطبيقًا شرعيًا لتنزيل تهديد البرامج الضارة وتثبيته. وتجدر الإشارة إلى أن الحمولة التي تم تسليمها يمكن أن تختلف بناءً على الأهداف المحددة للجهات الفاعلة في التهديد. هناك حقيقة أخرى ملحوظة وهي أنه لبدء سلسلة العدوى ، يجب على المستخدمين التفاعل وفتح مستندات OneNote التي تم تسليمها.

توخ الحذر عند التعامل مع رسائل البريد الإلكتروني والملفات غير المعروفة

نظرًا لأن ملفات OneNote أصبحت هدفًا شائعًا للممثلين ذوي العقلية السيئة نظرًا لقدرتها على تضمين محتوى غير آمن ، يجب على المستخدمين توخي الحذر الشديد. عادةً ما يستخدم مجرمو الإنترنت تكتيكات الهندسة الاجتماعية لخداع الضحايا المطمئنين للنقر فوق المحتوى المضمن ، مثل الأزرار المزيفة التي تظهر لتنزيل الملف من التخزين السحابي أو "انقر نقرًا مزدوجًا لعرض الملف". إذا نجح ذلك ، فقد يؤدي ذلك إلى انتشار أي نوع من البرامج الضارة ، اعتمادًا على قدرات البرنامج ونوايا المهاجمين. على هذا النحو ، يجب أن يكون المستخدمون على دراية بهذه التهديدات المحتملة وأن يتخذوا خطوات لحماية أنفسهم منها.