OneNote Malware

Kötü niyetli aktörler, kötü amaçlı yazılım yaymak için kimlik avı e-postalarında Microsoft OneNote eklerini kullanıyor. Bu güvenli olmayan ekler, ek zararlı yükler yüklemek veya parola toplamak için kullanılabilen uzaktan erişim kötü amaçlı yazılımları içerir. Saldırganlar, yıllardır e-posta yoluyla, kötü amaçlı yazılımı indirip yüklemek için makroları başlatan silahlı Word ve Excel belgeleri gönderiyor. Bununla birlikte, Microsoft'un MS Office belgelerindeki makroları otomatik olarak engelleme kararı, bilgisayar korsanlarının bunun yerine OneNote'u kötüye kullanmasına neden oldu. Şimdi, yasal formattaki belgeleri, etkileşime girdiklerinde kötü amaçlı yazılımın indirme/yükleme sürecini tetikleyen öldürücü içerikle yerleştirerek değiştiriyorlar.

Trojanlanmış OneNote Dosyaları Üzerinden Yayılan Tehdit Edici Yükler

Kötü amaçlı yazılım taşıyan OneNote dosyaları, ek olarak veya indirme bağlantıları yoluyla genellikle spam kampanyaları yoluyla yayılır. Bu şekilde konuşlandırıldığı gözlemlenen kötü amaçlı yazılım tehditlerinden ikisi, Qakbot bankacılık Truva Atı ve RedLine Stealer'dır . Qakbot, finansla ilgili bilgileri hedefler ve zincirleme bulaşmaları başlatabilirken RedLine Stealer, virüslü cihazlardan hassas verileri çıkarmak için tasarlanmıştır.

Bu tehlikeye atılmış OneNote dosyalarını dağıtmak için kullanılan istenmeyen e-postalar genellikle kişisel değildir ve yalnızca bazı istenmeyen e-postaların konu satırlarında alıcının soyadından bahsetmektedir. OneNote dosyaları, tıklandığında kötü amaçlı yazılım tehdidini indirmek ve yüklemek için meşru bir uygulamadan yararlanan, içlerine katıştırılmış bir HTML uygulaması (HTA dosyası) içerir. Teslim edilen faydalı yükün, tehdit aktörlerinin belirli hedeflerine göre değişebileceği belirtilmelidir. Bir başka dikkate değer gerçek de, bulaşma zincirinin başlaması için kullanıcıların etkileşim kurması ve teslim edilen OneNote belgelerini açması gerektiğidir.

Bilinmeyen E-postalar ve Dosyalarla Uğraşırken Dikkatli Olun

OneNote dosyaları, güvenli olmayan içeriğe gömülebilme yetenekleri nedeniyle kötü niyetli aktörler için popüler bir hedef haline geldiğinden, kullanıcıların ekstra dikkatli olması gerekir. Siber suçlular genellikle, şüphelenmeyen kurbanları gömülü içeriği tıklamaları için kandırmak için sosyal mühendislik taktikleri kullanır; örneğin, dosyayı bulut depolama alanından indirmek için görünen sahte düğmeler veya 'Dosyayı Görüntülemek İçin Çift Tıklayın'. Başarılı olursa, bu, programın yeteneklerine ve saldırganların amaçlarına bağlı olarak herhangi bir kötü amaçlı yazılım türünün yayılmasına yol açabilir. Bu nedenle, kullanıcılar bu potansiyel tehditlerin farkında olmalı ve kendilerini bunlara karşı korumak için adımlar atmalıdır.