Οι χάκερ χρησιμοποιούν συνημμένα Microsoft OneNote για να διαδώσουν malware

1 year ago 157

Οι απειλητικοί φορείς χρησιμοποιούν πλέον συνημμένα του Microsoft OneNote σε μηνύματα ηλεκτρονικού ψαρέματος που μολύνουν τα θύματα με κακόβουλο λογισμικό απομακρυσμένης πρόσβασης, το οποίο μπορεί να χρησιμοποιηθεί για την εγκατάσταση περαιτέρω κακόβουλου λογισμικού, την κλοπή κωδικών πρόσβασης ή ακόμα και των cryptocurrency wallets.

Δείτε επίσης: Το Android malware της καμπάνιας Roaming mantis αναβαθμίστηκε

Microsoft OneNote malware

Εδώ και χρόνια, οι χάκερ στέλνουν μηνύματα ηλεκτρονικού ταχυδρομείου που περιέχουν κακόβουλα συνημμένα αρχεία Word και Excel, τα οποία εκκινούν μακροεντολές για να κατεβάσουν και να εγκαταστήσουν malware. Τώρα βλέπουμε μια αναζωπύρωση αυτών των δραστηριοτήτων.

Τον περασμένο Ιούλιο, η Microsoft απενεργοποίησε τις μακροεντολές από προεπιλογή στα έγγραφα του Office – κάνοντας τη διανομή κακόβουλου λογισμικού μέσω αυτής της τεχνικής παρελθόν.

Ζωή Κωνσταντοπούλου: Καταιγιστικές εξελίξεις για τον Alexander Vinnik

SecNewsTV 1 Αυγούστου, 7:56 πμ

12o Infocom Security 2022 - Παρουσιάσεις και συνεντεύξεις

SecNewsTV 7 Ιουλίου, 10:27 μμ

Ζωη Κωνσταντοπούλου: Εξελίξεις στο ΣΤΕ για τον Mr Bitcoin

SecNewsTV 18 Μαΐου, 1:06 μμ

Giannis Andreou LIVE : Crypto, NFT, Metaverse προβλέψεις

SecNewsTV 3 Μαρτίου, 12:57 πμ

LIVE: GoldDigger credential detection & PinataHub platform

SecNewsTV 29 Ιανουαρίου, 1:24 πμ

LIVE : SocialTruth project - Το σύστημα εντοπισμού fake news

SecNewsTV 1 Οκτωβρίου, 12:54 πμ

Σε λίγο καιρό, οι κακόβουλοι φορείς άρχισαν να χρησιμοποιούν νέες μορφές αρχείων, όπως εικόνες ISO και αρχεία ZIP που προστατεύονται με κωδικό πρόσβασης. Αυτά τα έγγραφα έγιναν γρήγορα πανταχού παρόντα λόγω μιας δυσλειτουργίας των Windows που επέτρεπε στα ISO να παρακάμπτουν τις προειδοποιήσεις ασφαλείας και το γεγονός ότι το βοηθητικό πρόγραμμα αρχειοθέτησης 7-Zip απέτυχε να διαδώσει τα mark-of-the-web flags σε αρχεία που εξάγονται από αρχεία ZIP.

Δείτε επίσης: Riot Games: Παραβίαση καθυστερεί τις διορθώσεις παιχνιδιών

Ευτυχώς, τόσο το 7-Zip όσο και τα Windows διόρθωσαν πρόσφατα αυτά τα σφάλματα, εξαλείφοντας έτσι το άγχος που σχετίζεται με τις προειδοποιήσεις ασφαλείας όταν ένας χρήστης προσπαθεί να ανοίξει αρχεία από αρχεία ISO και ZIP.

Χωρίς να πτοηθούν από την αλλαγή στην τεχνολογία, οι απειλητικοί φορείς προσαρμόστηκαν γρήγορα και άρχισαν να χρησιμοποιούν τα συνημμένα αρχεία Microsoft OneNote ως μορφή αρχείου επισύναψης κακόβουλου spam (malspam).

Abuse συνημμένων στο OneNote

Το Microsoft OneNote είναι μια εφαρμογή desktop digital notebook! Εύκολα προσβάσιμη και δωρεάν, αυτή η εφαρμογή ψηφιακού σημειωματάριου είναι προεγκατεστημένη στο Microsoft Office 2019 και στο Microsoft 365.

Όλοι όσοι έχουν εγκαταστήσει το Microsoft Office/365 έχουν άμεση πρόσβαση στο OneNote. Το πρόγραμμα είναι προεγκατεστημένο, πράγμα που σημαίνει ότι οι χρήστες είναι σε θέση να ανοίγουν και να προβάλλουν γρήγορα όλα τα αρχεία που είναι αποθηκευμένα στη μορφή αρχείου του, χωρίς να χρειάζονται περαιτέρω λήψεις ή εγκαταστάσεις.

Από τα μέσα Δεκεμβρίου, ερευνητές κυβερνοασφάλειας προειδοποίησαν ότι οι απειλητικοί φορείς είχαν αρχίσει να διανέμουν κακόβουλα ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου που περιέχουν συνημμένα στο OneNote.

Όπως διαπιστώθηκε από το BleepingComputer, αυτά τα κακόβουλα μηνύματα spam μεταμφιέζονται σε ειδοποιήσεις DHL shipping, τιμολόγια, έντυπα εμβασμάτων ACH, μηχανικά διαγράμματα και έγγραφα αποστολής.

Σε αντίθεση με το Word και το Excel, το OneNote δεν υποστηρίζει μακροεντολές, κάτι που είναι ο τρόπος με τον οποίο οι χάκερ εκτόξευαν προηγουμένως script για την εγκατάσταση κακόβουλου λογισμικού.

Αντί να σας αναγκάζει να ανοίξετε ένα ξεχωριστό έγγραφο, το OneNote παρέχει στους χρήστες τη δυνατότητα να εισάγουν συνημμένα αρχεία στο NoteBook τους, τα οποία μπορούν να ανοίξουν με ένα απλό διπλό κλικ.

Οι χάκερ κάνουν abuse αυτής της δυνατότητας επισυνάπτοντας κακόβουλα συνημμένα VBS που εκκινούν αυτόματα το script όταν κάνουν διπλό κλικ για λήψη κακόβουλου λογισμικού από απομακρυσμένο ιστότοπο και εγκατάσταση του.

Δείτε επίσης: FanDuel: Προειδοποιεί για data breach μετά το MailChimp hack

Ωστόσο, τα συνημμένα μοιάζουν με το εικονίδιο ενός αρχείου στο OneNote, επομένως οι απειλητικοί παράγοντες επικαλύπτουν μια μεγάλη γραμμή ‘Double click to view file’ πάνω από τα εισαγόμενα συνημμένα VBS για να τα αποκρύψουν.

Microsoft OneNote

Όταν απομακρύνετε τη γραμμή “Click to View Document”, μπορείτε να δείτε ότι το κακόβουλο συνημμένο περιλαμβάνει πολλά συνημμένα. Με αυτά τα συνημμένα, ο χρήστης μπορεί εύκολα να εκκινήσει οποιοδήποτε συνημμένο με ένα μόνο διπλό κλικ οπουδήποτε στη γραμμή.

Microsoft OneNote

Ευτυχώς, το OneNote κάνει το επιπλέον βήμα να σας προειδοποιεί πριν ανοίξετε οποιαδήποτε συνημμένα αρχεία που θα μπορούσαν ενδεχομένως να θέσουν σε κίνδυνο τον υπολογιστή και τα δεδομένα σας.

Δυστυχώς, έχουμε διαπιστώσει ότι αυτές οι προειδοποιήσεις συχνά αγνοούνται και οι χρήστες απλώς πατούν το κουμπί “OK”.

Κάνοντας κλικ στο κουμπί OK θα ξεκινήσει το VBS script για λήψη και εγκατάσταση κακόβουλου λογισμικού. Όπως μπορείτε να δείτε από ένα από τα κακόβουλα αρχεία OneNote VBS που εντοπίστηκαν από το BleepingComputer, το script θα κατεβάσει και θα εκτελέσει δύο αρχεία από έναν απομακρυσμένο server.

Το πρώτο που εμφανίζεται παρακάτω είναι ένα αποκαλυπτικό έγγραφο του OneNote που ανοίγει και μοιάζει με το έγγραφο που περιμένατε. Ωστόσο, το αρχείο VBS θα εκτελέσει επίσης ένα κακόβουλο batch file στο παρασκήνιο για να εγκαταστήσει κακόβουλο λογισμικό στη συσκευή.

Microsoft OneNote

Σύμφωνα με τα ευρήματα του BleepingComputer για το malspam, τα αρχεία OneNote χρησιμοποιούνται για την κρυφή εγκατάσταση remote access trojan με τη δυνατότητα κλοπής προσωπικών πληροφοριών.

James, ένας ερευνητής κυβερνοασφάλειας, επιβεβαίωσε τα ευρήματα στο BleepingComputer ότι τα συνημμένα αρχεία του OneNote εγκαθιστούν τα trojans AsyncRAT και XWorm για απομακρυσμένη πρόσβαση.

Protip: If you're not already blocking .one files at your perimeter/email gateway…it's time.

— James (@James_inthe_box) January 17, 2023

Προσοχή στα συνημμένα αρχεία του OneNote – μπορεί να περιέχουν το κακόβουλο Trojan απομακρυσμένης πρόσβασης Quasar! Σύμφωνα με το BleepingComputer, αυτό το trojan εξαπλώνεται μέσω συνημμένων email.

Πηγή πληροφοριών: bleepingcomputer.com

Read Original