OneNote Malware

Zlomyslní herci používají přílohy Microsoft OneNote v phishingových e-mailech k šíření malwaru. Tyto nebezpečné přílohy obsahují malware pro vzdálený přístup, který lze použít k instalaci dalšího škodlivého obsahu nebo shromažďování hesel. Útočníci po léta posílají e-mailem dokumenty Word a Excel, které spouštějí makra ke stažení a instalaci malwaru. Rozhodnutí Microsoftu automaticky blokovat makra v dokumentech MS Office však pravděpodobně způsobilo, že hackeři místo toho přešli ke zneužívání OneNotu. Nyní upravují dokumenty legitimního formátu tím, že do nich vkládají virulentní obsah, který při interakci s malwarem spouští proces stahování/instalace.

Ohrožující užitečné zatížení Rozšířené prostřednictvím trojanizovaných souborů OneNote

Soubory OneNotu obsahující malware se běžně šíří prostřednictvím spamových kampaní, buď jako přílohy nebo prostřednictvím odkazů ke stažení. Dvě z pozorovaných malwarových hrozeb, které byly nasazeny tímto způsobem, zahrnují bankovního trojského koně Qakbot a RedLine Stealer . Qakbot se zaměřuje na informace související s financemi a mohl by iniciovat řetězové infekce, zatímco RedLine Stealer je navržen tak, aby extrahoval citlivá data z infikovaných zařízení.

Spamové e-maily používané k distribuci těchto kompromitovaných souborů OneNote jsou obecně neosobní, přičemž pouze některé z nevyžádaných e-mailů uvádějí v předmětu příjmení příjemce. Soubory OneNotu obsahují vloženou aplikaci HTML (soubor HTA), která po kliknutí využije legitimní aplikaci ke stažení a instalaci malwarové hrozby. Je třeba zdůraznit, že dodané užitečné zatížení se může lišit v závislosti na konkrétních cílech aktérů hrozby. Dalším pozoruhodným faktem je, že pro zahájení infekčního řetězce musí uživatelé interagovat a otevřít doručené dokumenty OneNotu.

Při práci s neznámými e-maily a soubory buďte opatrní

Vzhledem k tomu, že se soubory OneNote staly oblíbeným cílem pro špatně smýšlející herce kvůli jejich schopnosti vkládat nebezpečný obsah, uživatelé musí být extra opatrní. Kyberzločinci obvykle používají taktiku sociálního inženýrství, aby přiměli nic netušící oběti, aby klikly na vložený obsah, jako jsou falešná tlačítka, která vypadají, že stahují soubor z cloudového úložiště, nebo „Double Click To View File“. V případě úspěchu by to mohlo vést k šíření jakéhokoli typu malwaru v závislosti na schopnostech programu a záměrech útočníků. Uživatelé si proto musí být vědomi těchto potenciálních hrozeb a podniknout kroky k ochraně proti nim.