OneNote Malware

Huonosti ajattelevat toimijat käyttävät Microsoft OneNote -liitteitä tietojenkalasteluviesteissä haittaohjelmien levittämiseen. Nämä vaaralliset liitteet sisältävät etäkäyttöhaittaohjelmia, joita voidaan käyttää haitallisten lisäkuormien asentamiseen tai salasanojen keräämiseen. Hyökkääjät ovat vuosien ajan lähettäneet aseistettuja Word- ja Excel-asiakirjoja sähköpostitse, jotka käynnistävät makroja haittaohjelman lataamiseksi ja asentamiseksi. Microsoftin päätös estää makrot automaattisesti MS Office -asiakirjoissa on kuitenkin todennäköisesti saanut hakkerit siirtymään OneNoten väärinkäyttöön. Nyt he muokkaavat laillisia asiakirjoja upottamalla ne virulentilla sisällöllä, joka käynnistää haittaohjelman lataus-/asennusprosessin, kun se on vuorovaikutuksessa.

Uhkaavat hyötykuormat leviävät troijalaistettujen OneNote-tiedostojen kautta

Haittaohjelmia sisältävät OneNote-tiedostot leviävät yleensä roskapostikampanjoiden kautta joko liitteinä tai latauslinkkien kautta. Kaksi tällä tavalla havaittua haittaohjelmauhkia ovat Qakbot -pankkitroijalainen ja RedLine Stealer . Qakbot kohdistuu talouteen liittyviin tietoihin ja voi käynnistää ketjutartuntoja, kun taas RedLine Stealer on suunniteltu poimimaan arkaluontoisia tietoja tartunnan saaneista laitteista.

Näiden vaarantuneiden OneNote-tiedostojen jakamiseen käytetyt roskapostit ovat yleensä persoonattomia, ja vain joissakin roskapostiviesteissä mainitaan vastaanottajan sukunimi aiheriveissään. OneNote-tiedostot sisältävät niihin upotetun HTML-sovelluksen (HTA-tiedoston), jota napsautettuna hyödynnetään laillista sovellusta haittaohjelmauhan lataamiseen ja asentamiseen. On syytä huomauttaa, että toimitettu hyötykuorma voi vaihdella uhkatoimijoiden erityistavoitteiden mukaan. Toinen huomionarvoinen tosiasia on, että tartuntaketjun alkaminen edellyttää, että käyttäjät ovat vuorovaikutuksessa ja avaavat toimitetut OneNote-asiakirjat.

Ole varovainen käsitellessäsi tuntemattomia sähköposteja ja tiedostoja

Koska OneNote-tiedostoista on tullut huonomielisten toimijoiden suosittu kohde, koska ne voivat upottaa niihin vaarallista sisältöä, käyttäjien on oltava erityisen varovaisia. Verkkorikolliset käyttävät yleensä manipulointitaktiikoita huijatakseen pahaa-aavistamattomia uhreja napsauttamaan upotettua sisältöä, kuten väärennettyjä painikkeita, jotka näyttävät lataavan tiedoston pilvitallennustilasta, tai "Kaksoisnapsauttamalla tiedostoa". Jos tämä onnistuu, se voi johtaa minkä tahansa haittaohjelman tyypin leviämiseen ohjelman kyvyistä ja hyökkääjien aikeista riippuen. Sellaisenaan käyttäjien on oltava tietoisia näistä mahdollisista uhista ja ryhdyttävä toimiin suojautuakseen niiltä.