Οι απειλητικοί φορείς χρησιμοποιούν πλέον συνημμένα του Microsoft OneNote σε μηνύματα ηλεκτρονικού ψαρέματος που μολύνουν τα θύματα με κακόβουλο λογισμικό απομακρυσμένης πρόσβασης, το οποίο μπορεί να χρησιμοποιηθεί για την εγκατάσταση περαιτέρω κακόβουλου λογισμικού, την κλοπή κωδικών πρόσβασης ή ακόμα και των cryptocurrency wallets.
Δείτε επίσης: Το Android malware της καμπάνιας Roaming mantis αναβαθμίστηκε
Εδώ και χρόνια, οι χάκερ στέλνουν μηνύματα ηλεκτρονικού ταχυδρομείου που περιέχουν κακόβουλα συνημμένα αρχεία Word και Excel, τα οποία εκκινούν μακροεντολές για να κατεβάσουν και να εγκαταστήσουν malware. Τώρα βλέπουμε μια αναζωπύρωση αυτών των δραστηριοτήτων.
Τον περασμένο Ιούλιο, η Microsoft απενεργοποίησε τις μακροεντολές από προεπιλογή στα έγγραφα του Office – κάνοντας τη διανομή κακόβουλου λογισμικού μέσω αυτής της τεχνικής παρελθόν.
Καταιγίδες μεγαλύτερες από τη Γη εντοπίστηκαν στον Δία
Black Basta ransomware: Όλες οι νέες τακτικές
Αποκαλύψεις για τον Μεγαλύτερο Κρατήρα του Φεγγαριού
Σε λίγο καιρό, οι κακόβουλοι φορείς άρχισαν να χρησιμοποιούν νέες μορφές αρχείων, όπως εικόνες ISO και αρχεία ZIP που προστατεύονται με κωδικό πρόσβασης. Αυτά τα έγγραφα έγιναν γρήγορα πανταχού παρόντα λόγω μιας δυσλειτουργίας των Windows που επέτρεπε στα ISO να παρακάμπτουν τις προειδοποιήσεις ασφαλείας και το γεγονός ότι το βοηθητικό πρόγραμμα αρχειοθέτησης 7-Zip απέτυχε να διαδώσει τα mark-of-the-web flags σε αρχεία που εξάγονται από αρχεία ZIP.
Δείτε επίσης: Riot Games: Παραβίαση καθυστερεί τις διορθώσεις παιχνιδιών
Ευτυχώς, τόσο το 7-Zip όσο και τα Windows διόρθωσαν πρόσφατα αυτά τα σφάλματα, εξαλείφοντας έτσι το άγχος που σχετίζεται με τις προειδοποιήσεις ασφαλείας όταν ένας χρήστης προσπαθεί να ανοίξει αρχεία από αρχεία ISO και ZIP.
Χωρίς να πτοηθούν από την αλλαγή στην τεχνολογία, οι απειλητικοί φορείς προσαρμόστηκαν γρήγορα και άρχισαν να χρησιμοποιούν τα συνημμένα αρχεία Microsoft OneNote ως μορφή αρχείου επισύναψης κακόβουλου spam (malspam).
Abuse συνημμένων στο OneNote
Το Microsoft OneNote είναι μια εφαρμογή desktop digital notebook! Εύκολα προσβάσιμη και δωρεάν, αυτή η εφαρμογή ψηφιακού σημειωματάριου είναι προεγκατεστημένη στο Microsoft Office 2019 και στο Microsoft 365.
Όλοι όσοι έχουν εγκαταστήσει το Microsoft Office/365 έχουν άμεση πρόσβαση στο OneNote. Το πρόγραμμα είναι προεγκατεστημένο, πράγμα που σημαίνει ότι οι χρήστες είναι σε θέση να ανοίγουν και να προβάλλουν γρήγορα όλα τα αρχεία που είναι αποθηκευμένα στη μορφή αρχείου του, χωρίς να χρειάζονται περαιτέρω λήψεις ή εγκαταστάσεις.
Από τα μέσα Δεκεμβρίου, ερευνητές κυβερνοασφάλειας προειδοποίησαν ότι οι απειλητικοί φορείς είχαν αρχίσει να διανέμουν κακόβουλα ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου που περιέχουν συνημμένα στο OneNote.
Όπως διαπιστώθηκε από το BleepingComputer, αυτά τα κακόβουλα μηνύματα spam μεταμφιέζονται σε ειδοποιήσεις DHL shipping, τιμολόγια, έντυπα εμβασμάτων ACH, μηχανικά διαγράμματα και έγγραφα αποστολής.
Σε αντίθεση με το Word και το Excel, το OneNote δεν υποστηρίζει μακροεντολές, κάτι που είναι ο τρόπος με τον οποίο οι χάκερ εκτόξευαν προηγουμένως script για την εγκατάσταση κακόβουλου λογισμικού.
Αντί να σας αναγκάζει να ανοίξετε ένα ξεχωριστό έγγραφο, το OneNote παρέχει στους χρήστες τη δυνατότητα να εισάγουν συνημμένα αρχεία στο NoteBook τους, τα οποία μπορούν να ανοίξουν με ένα απλό διπλό κλικ.
Οι χάκερ κάνουν abuse αυτής της δυνατότητας επισυνάπτοντας κακόβουλα συνημμένα VBS που εκκινούν αυτόματα το script όταν κάνουν διπλό κλικ για λήψη κακόβουλου λογισμικού από απομακρυσμένο ιστότοπο και εγκατάσταση του.
Δείτε επίσης: FanDuel: Προειδοποιεί για data breach μετά το MailChimp hack
Ωστόσο, τα συνημμένα μοιάζουν με το εικονίδιο ενός αρχείου στο OneNote, επομένως οι απειλητικοί παράγοντες επικαλύπτουν μια μεγάλη γραμμή ‘Double click to view file’ πάνω από τα εισαγόμενα συνημμένα VBS για να τα αποκρύψουν.
Όταν απομακρύνετε τη γραμμή “Click to View Document”, μπορείτε να δείτε ότι το κακόβουλο συνημμένο περιλαμβάνει πολλά συνημμένα. Με αυτά τα συνημμένα, ο χρήστης μπορεί εύκολα να εκκινήσει οποιοδήποτε συνημμένο με ένα μόνο διπλό κλικ οπουδήποτε στη γραμμή.
Ευτυχώς, το OneNote κάνει το επιπλέον βήμα να σας προειδοποιεί πριν ανοίξετε οποιαδήποτε συνημμένα αρχεία που θα μπορούσαν ενδεχομένως να θέσουν σε κίνδυνο τον υπολογιστή και τα δεδομένα σας.
Δυστυχώς, έχουμε διαπιστώσει ότι αυτές οι προειδοποιήσεις συχνά αγνοούνται και οι χρήστες απλώς πατούν το κουμπί “OK”.
Κάνοντας κλικ στο κουμπί OK θα ξεκινήσει το VBS script για λήψη και εγκατάσταση κακόβουλου λογισμικού. Όπως μπορείτε να δείτε από ένα από τα κακόβουλα αρχεία OneNote VBS που εντοπίστηκαν από το BleepingComputer, το script θα κατεβάσει και θα εκτελέσει δύο αρχεία από έναν απομακρυσμένο server.
Το πρώτο που εμφανίζεται παρακάτω είναι ένα αποκαλυπτικό έγγραφο του OneNote που ανοίγει και μοιάζει με το έγγραφο που περιμένατε. Ωστόσο, το αρχείο VBS θα εκτελέσει επίσης ένα κακόβουλο batch file στο παρασκήνιο για να εγκαταστήσει κακόβουλο λογισμικό στη συσκευή.
Σύμφωνα με τα ευρήματα του BleepingComputer για το malspam, τα αρχεία OneNote χρησιμοποιούνται για την κρυφή εγκατάσταση remote access trojan με τη δυνατότητα κλοπής προσωπικών πληροφοριών.
James, ένας ερευνητής κυβερνοασφάλειας, επιβεβαίωσε τα ευρήματα στο BleepingComputer ότι τα συνημμένα αρχεία του OneNote εγκαθιστούν τα trojans AsyncRAT και XWorm για απομακρυσμένη πρόσβαση.
Προσοχή στα συνημμένα αρχεία του OneNote – μπορεί να περιέχουν το κακόβουλο Trojan απομακρυσμένης πρόσβασης Quasar! Σύμφωνα με το BleepingComputer, αυτό το trojan εξαπλώνεται μέσω συνημμένων email.
Πηγή πληροφοριών: bleepingcomputer.com