Złośliwe oprogramowanie OneNote

Podstępni aktorzy używają załączników programu Microsoft OneNote w wiadomościach phishingowych w celu rozprzestrzeniania złośliwego oprogramowania. Te niebezpieczne załączniki zawierają złośliwe oprogramowanie umożliwiające zdalny dostęp, które może zostać użyte do zainstalowania dodatkowych szkodliwych funkcji lub zbierania haseł. Od lat osoby atakujące wysyłają pocztą elektroniczną uzbrojone dokumenty Word i Excel, które uruchamiają makra w celu pobrania i zainstalowania złośliwego oprogramowania. Jednak decyzja Microsoftu o automatycznym blokowaniu makr w dokumentach MS Office prawdopodobnie spowodowała, że hakerzy zamiast tego przeszli do nadużywania OneNote. Teraz modyfikują dokumenty w legalnym formacie, osadzając je ze zjadliwą zawartością, która uruchamia proces pobierania/instalacji złośliwego oprogramowania podczas interakcji.

Groźne ładunki rozprzestrzeniają się za pośrednictwem zainfekowanych plików programu OneNote

Pliki programu OneNote zawierające złośliwe oprogramowanie są często rozpowszechniane za pośrednictwem kampanii spamowych, jako załączniki lub łącza do pobierania. Dwa spośród zaobserwowanych zagrożeń złośliwym oprogramowaniem wdrażanych w ten sposób to trojan bankowy Qakbot i RedLine Stealer . Qakbot atakuje informacje związane z finansami i może inicjować infekcje łańcuchowe, podczas gdy RedLine Stealer ma na celu wydobywanie poufnych danych z zainfekowanych urządzeń.

Wiadomości e-mail będące spamem wykorzystywane do rozpowszechniania zainfekowanych plików programu OneNote są na ogół bezosobowe, a tylko niektóre z nich zawierają nazwisko odbiorcy w wierszu tematu. Pliki OneNote zawierają osadzoną w nich aplikację HTML (plik HTA), która po kliknięciu wykorzystałaby legalną aplikację do pobrania i zainstalowania złośliwego oprogramowania. Należy zauważyć, że dostarczony ładunek może się różnić w zależności od konkretnych celów cyberprzestępców. Innym godnym uwagi faktem jest to, że aby rozpocząć łańcuch infekcji, użytkownicy muszą wchodzić w interakcje i otwierać dostarczone dokumenty OneNote.

Zachowaj ostrożność w kontaktach z nieznanymi wiadomościami e-mail i plikami

Ponieważ pliki programu OneNote stały się popularnym celem złośliwych aktorów ze względu na możliwość osadzania w nich niebezpiecznych treści, użytkownicy muszą zachować szczególną ostrożność. Cyberprzestępcy zazwyczaj wykorzystują taktyki socjotechniczne, aby nakłonić niczego niepodejrzewające ofiary do kliknięcia osadzonej zawartości, takiej jak fałszywe przyciski, które wydają się pobierać plik z magazynu w chmurze lub „Kliknij dwukrotnie, aby wyświetlić plik”. Jeśli się powiedzie, może to doprowadzić do rozprzestrzenienia dowolnego rodzaju złośliwego oprogramowania, w zależności od możliwości programu i intencji atakujących. W związku z tym użytkownicy muszą być świadomi tych potencjalnych zagrożeń i podejmować kroki w celu ochrony przed nimi.