OneNote 맬웨어

악의를 품은 행위자는 피싱 이메일에 Microsoft OneNote 첨부 파일을 사용하여 맬웨어를 퍼뜨리고 있습니다. 이러한 안전하지 않은 첨부 파일에는 유해한 페이로드를 추가로 설치하거나 암호를 수집하는 데 사용할 수 있는 원격 액세스 맬웨어가 포함되어 있습니다. 수년 동안 공격자들은 이메일을 통해 무기화된 Word 및 Excel 문서를 전송하여 악성코드를 다운로드하고 설치하는 매크로를 시작했습니다. 그러나 MS Office 문서의 매크로를 자동으로 차단하기로 한 Microsoft의 결정으로 인해 해커가 대신 OneNote를 남용하는 것으로 전환했을 가능성이 높습니다. 이제 그들은 상호 작용할 때 맬웨어의 다운로드/설치 프로세스를 트리거하는 악의적인 콘텐츠를 삽입하여 합법적인 형식의 문서를 수정하고 있습니다.

트로이 목마화된 OneNote 파일을 통해 확산되는 위협적인 페이로드

맬웨어를 포함하는 OneNote 파일은 일반적으로 첨부 파일 또는 다운로드 링크를 통해 스팸 캠페인을 통해 확산됩니다. 이러한 방식으로 배포된 것으로 관찰된 맬웨어 위협 중 두 가지는 Qakbot 뱅킹 트로이 목마와 RedLine Stealer 입니다. Qakbot은 금융 관련 정보를 대상으로 체인 감염을 일으킬 수 있으며 RedLine Stealer는 감염된 장치에서 민감한 데이터를 추출하도록 설계되었습니다.

이러한 손상된 OneNote 파일을 배포하는 데 사용되는 스팸 전자 메일은 일반적으로 비인격적이며 스팸 전자 메일 중 일부만 제목 줄에 수신자의 성을 언급합니다. OneNote 파일에는 포함된 HTML 응용 프로그램(HTA 파일)이 포함되어 있으며 클릭하면 합법적인 응용 프로그램을 활용하여 맬웨어 위협을 다운로드하고 설치합니다. 전달되는 페이로드는 위협 행위자의 특정 목표에 따라 달라질 수 있다는 점을 지적해야 합니다. 또 다른 주목할만한 사실은 감염 사슬이 시작되려면 사용자가 전달된 OneNote 문서와 상호 작용하고 열어야 한다는 것입니다.

알 수 없는 이메일 및 파일을 다룰 때 주의하십시오.

OneNote 파일은 안전하지 않은 콘텐츠를 포함할 수 있기 때문에 마음이 나쁜 행위자의 인기 있는 표적이 되었기 때문에 사용자는 각별히 주의해야 합니다. 사이버 범죄자는 일반적으로 사회 공학 전술을 사용하여 클라우드 스토리지에서 파일을 다운로드하는 것처럼 보이는 가짜 버튼 또는 '파일을 보려면 두 번 클릭'과 같이 순진한 피해자가 포함된 콘텐츠를 클릭하도록 속입니다. 성공하면 프로그램의 기능과 공격자의 의도에 따라 모든 맬웨어 유형이 확산될 수 있습니다. 따라서 사용자는 이러한 잠재적인 위협을 인식하고 위협으로부터 자신을 보호하기 위한 조치를 취해야 합니다.