بدافزار OneNote

بازیگران بد اندیش از پیوست های Microsoft OneNote در ایمیل های فیشینگ برای انتشار بدافزار استفاده می کنند. این پیوست‌های ناایمن حاوی بدافزار دسترسی از راه دور هستند که می‌توانند برای نصب بارهای مضر اضافی یا جمع‌آوری رمزهای عبور استفاده شوند. برای سال‌ها، مهاجمان اسناد ورد و اکسل را از طریق ایمیل ارسال می‌کنند که ماکروها را برای دانلود و نصب بدافزار راه‌اندازی می‌کنند. با این حال، تصمیم مایکروسافت برای مسدود کردن خودکار ماکروها در اسناد MS Office احتمالاً باعث شده تا هکرها به جای آن به سوء استفاده از OneNote روی آورند. اکنون، آنها در حال اصلاح اسناد با فرمت قانونی با جاسازی آنها با محتوای خطرناک هستند، که فرآیند دانلود/نصب بدافزار را در هنگام تعامل با آنها آغاز می کند.

بارهای تهدید آمیز از طریق فایل های Trojanized OneNote پخش می شوند

فایل‌های OneNote حاوی بدافزار معمولاً از طریق کمپین‌های هرزنامه یا به صورت پیوست یا از طریق پیوندهای دانلود پخش می‌شوند. دو مورد از تهدیدات بدافزار مشاهده شده که به این روش مستقر می شوند عبارتند از تروجان بانکی Qakbot و RedLine Stealer . Qakbot اطلاعات مربوط به امور مالی را هدف قرار می دهد و می تواند عفونت های زنجیره ای را آغاز کند، در حالی که RedLine Stealer برای استخراج داده های حساس از دستگاه های آلوده طراحی شده است.

ایمیل‌های هرزنامه‌ای که برای توزیع این فایل‌های در معرض خطر OneNote استفاده می‌شوند، عموماً غیرشخصی هستند و فقط برخی از ایمیل‌های هرزنامه نام خانوادگی گیرنده را در خطوط موضوع خود ذکر می‌کنند. فایل‌های OneNote حاوی یک برنامه HTML (فایل HTA) تعبیه‌شده در داخل آن‌ها هستند که با کلیک بر روی آن، یک برنامه قانونی برای دانلود و نصب تهدید بدافزار استفاده می‌شود. لازم به ذکر است که محموله تحویلی می تواند بر اساس اهداف خاص بازیگران تهدید متفاوت باشد. واقعیت قابل توجه دیگر این است که برای شروع زنجیره عفونت، کاربران باید با یکدیگر تعامل داشته باشند و اسناد تحویل داده شده OneNote را باز کنند.

هنگام برخورد با ایمیل ها و فایل های ناشناس احتیاط کنید

از آنجایی که فایل‌های OneNote به دلیل قابلیت جاسازی با محتوای ناامن به هدفی محبوب برای بازیگران بد فکر تبدیل شده‌اند، کاربران باید بیشتر مراقب باشند. مجرمان سایبری معمولاً از تاکتیک‌های مهندسی اجتماعی برای فریب قربانیان ناآگاه برای کلیک کردن روی محتوای جاسازی شده استفاده می‌کنند، مانند دکمه‌های جعلی که ظاهراً فایل را از فضای ذخیره‌سازی ابری دانلود می‌کنند یا «برای مشاهده فایل، دوبار کلیک کنید». در صورت موفقیت آمیز بودن، بسته به قابلیت های برنامه و نیات مهاجمان، می تواند منجر به گسترش هر نوع بدافزار شود. به این ترتیب، کاربران باید از این تهدیدات بالقوه آگاه باشند و اقداماتی را برای محافظت از خود در برابر آنها انجام دهند.