Škodlivý softvér OneNote

Zlomyslní herci používajú prílohy Microsoft OneNote vo phishingových e-mailoch na šírenie škodlivého softvéru. Tieto nebezpečné prílohy obsahujú škodlivý softvér na vzdialený prístup, ktorý možno použiť na inštaláciu ďalších škodlivých dát alebo zhromažďovanie hesiel. Útočníci už roky posielajú e-mailom dokumenty Word a Excel so zbraňami, ktoré spúšťajú makrá na stiahnutie a inštaláciu škodlivého softvéru. Rozhodnutie Microsoftu automaticky blokovať makrá v dokumentoch MS Office však pravdepodobne spôsobilo, že hackeri namiesto toho prešli na zneužívanie OneNotu. Teraz upravujú dokumenty legitímneho formátu tak, že do nich vkladajú virulentný obsah, ktorý pri interakcii spúšťa proces sťahovania/inštalácie malvéru.

Ohrozujúce užitočné zaťaženie Rozšírené cez trojanizované súbory OneNote

Súbory OneNotu, ktoré obsahujú malvér, sa bežne šíria prostredníctvom spamových kampaní, buď ako prílohy, alebo prostredníctvom odkazov na stiahnutie. Dve z malvérových hrozieb, ktoré boli pozorované pri nasadení týmto spôsobom, zahŕňajú bankový trójsky kôň Qakbot a RedLine Stealer . Qakbot sa zameriava na informácie súvisiace s financiami a mohol by iniciovať reťazové infekcie, zatiaľ čo RedLine Stealer je navrhnutý na extrahovanie citlivých údajov z infikovaných zariadení.

Spamové e-maily používané na distribúciu týchto kompromitovaných súborov OneNote sú vo všeobecnosti neosobné, pričom iba niektoré nevyžiadané e-maily uvádzajú v predmete priezvisko príjemcu. Súbory OneNote obsahujú aplikáciu HTML (súbor HTA), ktorá je v nich zabudovaná, na ktorú po kliknutí využijete legitímnu aplikáciu na stiahnutie a inštaláciu hrozby škodlivého softvéru. Malo by sa zdôrazniť, že dodané užitočné zaťaženie sa môže líšiť v závislosti od konkrétnych cieľov aktérov hrozby. Ďalšou pozoruhodnou skutočnosťou je, že na spustenie infekčného reťazca musia používatelia interagovať a otvoriť doručené dokumenty OneNotu.

Pri práci s neznámymi e-mailami a súbormi buďte opatrní

Keďže súbory OneNotu sa stali obľúbeným cieľom pre zle zmýšľajúcich hercov kvôli ich schopnosti vkladať nebezpečný obsah, používatelia musia byť mimoriadne opatrní. Kyberzločinci zvyčajne používajú taktiku sociálneho inžinierstva, aby prinútili nič netušiace obete, aby klikli na vložený obsah, ako sú falošné tlačidlá, ktoré sa javia ako sťahovanie súboru z cloudového úložiska alebo „Dvojité kliknutie na zobrazenie súboru“. V prípade úspechu by to mohlo viesť k šíreniu akéhokoľvek typu malvéru v závislosti od možností programu a zámerov útočníkov. Používatelia si preto musia byť vedomí týchto potenciálnych hrozieb a musia podniknúť kroky na ochranu pred nimi.