OneNote Malware

Pessoas mal-intencionadas estão usando anexos do Microsoft OneNote em e-mails de phishing para espalhar malware. Esses anexos inseguros contêm malware de acesso remoto que pode ser usado para instalar cargas prejudiciais adicionais ou coletar senhas. Durante anos, os invasores enviaram documentos do Word e Excel armados por e-mail, que lançam macros para baixar e instalar o malware. No entanto, a decisão da Microsoft de bloquear macros automaticamente em documentos do MS Office provavelmente fez com que os hackers passassem a abusar do OneNote. Agora, eles estão modificando documentos de formato legítimo, incorporando-os com conteúdo virulento, que aciona o processo de download/instalação do malware quando interage com ele.

Cargas Ameaçadoras Espalhadas por Meio de Arquivos Trojanizados do OneNote

Os arquivos do OneNote que carregam malware são comumente espalhados por meio de campanhas de spam, como anexos ou por meio de links para download. Duas das ameaças de malware observadas sendo implantadas dessa maneira incluem o Trojan bancário Qakbot e o RedLine Stealer. O Qakbot visa informações relacionadas a finanças e pode iniciar infecções em cadeia, enquanto o RedLine Stealer foi projetado para extrair dados confidenciais de dispositivos infectados.

Os e-mails de spam usados para distribuir esses arquivos comprometidos do OneNote são geralmente impessoais, com apenas alguns dos e-mails de spam mencionando o sobrenome do destinatário em suas linhas de assunto. Os arquivos do OneNote contêm um aplicativo HTML (arquivo HTA) embutido neles, que, quando clicado, usaria um aplicativo legítimo para baixar e instalar a ameaça de malware. Deve-se ressaltar que a carga útil entregue pode variar de acordo com os objetivos específicos dos agentes da ameaça. Outro fato notável é que, para que a cadeia de infecção comece, os usuários devem interagir e abrir os documentos do OneNote entregues.

Tenha Cuidado ao Lidar com E-Mails e Arquivos Desconhecidos

Como os arquivos do OneNote se tornaram um alvo popular para atores mal-intencionados devido à sua capacidade de serem incorporados a conteúdo inseguro, os usuários devem ter cuidado extra. Os cibercriminosos geralmente usam táticas de engenharia social para induzir vítimas inocentes a clicar no conteúdo incorporado, como botões falsos que parecem baixar o arquivo do armazenamento em nuvem ou 'Clique duas vezes para visualizar o arquivo'. Se bem-sucedido, isso pode levar à disseminação de qualquer tipo de malware, dependendo dos recursos do programa e das intenções dos invasores. Como tal, os usuários devem estar cientes dessas ameaças potenciais e tomar medidas para se proteger contra elas.