Вредоносное ПО OneNote

Злоумышленники используют вложения Microsoft OneNote в фишинговых письмах для распространения вредоносных программ. Эти небезопасные вложения содержат вредоносное ПО для удаленного доступа, которое можно использовать для установки дополнительных вредоносных полезных нагрузок или сбора паролей. В течение многих лет злоумышленники рассылали по электронной почте вооруженные документы Word и Excel, которые запускали макросы для загрузки и установки вредоносного ПО. Однако решение Microsoft автоматически блокировать макросы в документах MS Office, вероятно, привело к тому, что хакеры вместо этого перешли к злоупотреблению OneNote. Теперь они изменяют документы законного формата, встраивая в них опасный контент, который запускает процесс загрузки/установки вредоносного ПО при взаимодействии с ним.

Угроза распространения полезной нагрузки через троянизированные файлы OneNote

Файлы OneNote, содержащие вредоносное ПО, обычно распространяются через спам-кампании либо в виде вложений, либо по ссылкам для скачивания. Две обнаруженные вредоносные программы, развернутые таким образом, включают банковский троян Qakbot и RedLine Stealer . Qakbot нацелен на финансовую информацию и может инициировать цепочку заражений, в то время как RedLine Stealer предназначен для извлечения конфиденциальных данных с зараженных устройств.

Электронные письма со спамом, используемые для распространения этих скомпрометированных файлов OneNote, как правило, обезличены, и только в некоторых письмах со спамом в строке темы упоминается фамилия получателя. Файлы OneNote содержат встроенное в них HTML-приложение (файл HTA), которое при нажатии будет использовать законное приложение для загрузки и установки вредоносного ПО. Следует отметить, что доставляемая полезная нагрузка может варьироваться в зависимости от конкретных целей злоумышленников. Еще одним примечательным фактом является то, что для начала цепочки заражения пользователи должны взаимодействовать и открывать доставленные документы OneNote.

Будьте осторожны при работе с неизвестными электронными письмами и файлами

Поскольку файлы OneNote стали популярной мишенью для злоумышленников из-за того, что в них может быть встроен небезопасный контент, пользователи должны быть особенно осторожны. Киберпреступники обычно используют тактику социальной инженерии, чтобы заставить ничего не подозревающих жертв щелкнуть встроенный контент, например поддельные кнопки, которые появляются для загрузки файла из облачного хранилища или «Двойной щелчок для просмотра файла». В случае успеха это может привести к распространению вредоносного ПО любого типа, в зависимости от возможностей программы и намерений злоумышленников. Таким образом, пользователи должны знать об этих потенциальных угрозах и принимать меры для защиты от них.