بدافزار OneNote
بازیگران بد اندیش از پیوست های Microsoft OneNote در ایمیل های فیشینگ برای انتشار بدافزار استفاده می کنند. این پیوستهای ناایمن حاوی بدافزار دسترسی از راه دور هستند که میتوانند برای نصب بارهای مضر اضافی یا جمعآوری رمزهای عبور استفاده شوند. برای سالها، مهاجمان اسناد ورد و اکسل را از طریق ایمیل ارسال میکنند که ماکروها را برای دانلود و نصب بدافزار راهاندازی میکنند. با این حال، تصمیم مایکروسافت برای مسدود کردن خودکار ماکروها در اسناد MS Office احتمالاً باعث شده تا هکرها به جای آن به سوء استفاده از OneNote روی آورند. اکنون، آنها در حال اصلاح اسناد با فرمت قانونی با جاسازی آنها با محتوای خطرناک هستند، که فرآیند دانلود/نصب بدافزار را در هنگام تعامل با آنها آغاز می کند.
بارهای تهدید آمیز از طریق فایل های Trojanized OneNote پخش می شوند
فایلهای OneNote حاوی بدافزار معمولاً از طریق کمپینهای هرزنامه یا به صورت پیوست یا از طریق پیوندهای دانلود پخش میشوند. دو مورد از تهدیدات بدافزار مشاهده شده که به این روش مستقر می شوند عبارتند از تروجان بانکی Qakbot و RedLine Stealer . Qakbot اطلاعات مربوط به امور مالی را هدف قرار می دهد و می تواند عفونت های زنجیره ای را آغاز کند، در حالی که RedLine Stealer برای استخراج داده های حساس از دستگاه های آلوده طراحی شده است.
ایمیلهای هرزنامهای که برای توزیع این فایلهای در معرض خطر OneNote استفاده میشوند، عموماً غیرشخصی هستند و فقط برخی از ایمیلهای هرزنامه نام خانوادگی گیرنده را در خطوط موضوع خود ذکر میکنند. فایلهای OneNote حاوی یک برنامه HTML (فایل HTA) تعبیهشده در داخل آنها هستند که با کلیک بر روی آن، یک برنامه قانونی برای دانلود و نصب تهدید بدافزار استفاده میشود. لازم به ذکر است که محموله تحویلی می تواند بر اساس اهداف خاص بازیگران تهدید متفاوت باشد. واقعیت قابل توجه دیگر این است که برای شروع زنجیره عفونت، کاربران باید با یکدیگر تعامل داشته باشند و اسناد تحویل داده شده OneNote را باز کنند.
هنگام برخورد با ایمیل ها و فایل های ناشناس احتیاط کنید
از آنجایی که فایلهای OneNote به دلیل قابلیت جاسازی با محتوای ناامن به هدفی محبوب برای بازیگران بد فکر تبدیل شدهاند، کاربران باید بیشتر مراقب باشند. مجرمان سایبری معمولاً از تاکتیکهای مهندسی اجتماعی برای فریب قربانیان ناآگاه برای کلیک کردن روی محتوای جاسازی شده استفاده میکنند، مانند دکمههای جعلی که ظاهراً فایل را از فضای ذخیرهسازی ابری دانلود میکنند یا «برای مشاهده فایل، دوبار کلیک کنید». در صورت موفقیت آمیز بودن، بسته به قابلیت های برنامه و نیات مهاجمان، می تواند منجر به گسترش هر نوع بدافزار شود. به این ترتیب، کاربران باید از این تهدیدات بالقوه آگاه باشند و اقداماتی را برای محافظت از خود در برابر آنها انجام دهند.