OneNote Malware

Зловмисники використовують вкладення Microsoft OneNote у фішингових електронних листах для поширення зловмисного програмного забезпечення. Ці небезпечні вкладення містять зловмисне програмне забезпечення для віддаленого доступу, яке можна використовувати для встановлення додаткових шкідливих корисних даних або збору паролів. Роками зловмисники надсилали електронною поштою документи Word і Excel, які запускали макроси для завантаження та встановлення шкідливого програмного забезпечення. Однак рішення Microsoft автоматично блокувати макроси в документах MS Office, швидше за все, змусило хакерів перейти до зловживання OneNote. Тепер вони змінюють документи законного формату, вставляючи в них вірулентний вміст, який запускає процес завантаження/встановлення зловмисного програмного забезпечення під час взаємодії.

Загрозливі корисні навантаження поширюються через троянізовані файли OneNote

Файли OneNote, які містять зловмисне програмне забезпечення, зазвичай поширюються через спам-кампанії у вигляді вкладень або через посилання для завантаження. Дві загрози зловмисного програмного забезпечення, які розгортаються таким чином, включають банківський троян Qakbot і RedLine Stealer . Qakbot націлений на інформацію, пов’язану з фінансами, і може ініціювати ланцюгове зараження, тоді як RedLine Stealer призначений для отримання конфіденційних даних із заражених пристроїв.

Електронні листи зі спамом, які використовуються для розповсюдження скомпрометованих файлів OneNote, як правило, є знеособленими, і лише в деяких листах із спамом у рядках теми згадується прізвище одержувача. Файли OneNote містять HTML-програму (файл HTA), вбудовану в них, яка, коли клацне, використовуватиме законну програму для завантаження та встановлення загрозливого програмного забезпечення. Слід зазначити, що доставлене корисне навантаження може змінюватися залежно від конкретних цілей учасників загрози. Інший примітний факт полягає в тому, що для початку ланцюжка зараження користувачі повинні взаємодіяти та відкривати надіслані документи OneNote.

Будьте обережні, маючи справу з невідомими електронними листами та файлами

Оскільки файли OneNote стали популярною мішенню для зловмисників через те, що вони можуть бути вбудовані з небезпечним вмістом, користувачі повинні бути особливо обережними. Зазвичай кіберзлочинці використовують тактику соціальної інженерії, щоб змусити нічого не підозрюючих жертв натиснути вбудований вміст, як-от підроблені кнопки, які з’являються для завантаження файлу з хмарного сховища або «Двічі клацніть, щоб переглянути файл». У разі успіху це може призвести до поширення будь-якого типу зловмисного програмного забезпечення, залежно від можливостей програми та намірів зловмисників. Таким чином, користувачі повинні знати про ці потенційні загрози та вживати заходів для захисту від них.