ΑρχικήsecurityΑυξάνεται η χρήση των εγγράφων Microsoft OneNote για την παράδοση malware

Αυξάνεται η χρήση των εγγράφων Microsoft OneNote για την παράδοση malware

Η χρήση εγγράφων του Microsoft OneNote για την παράδοση malware μέσω email αυξάνεται.

Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν τώρα μια καινοτόμο τακτική για να παραδώσουν κακόβουλα payload στέλνοντας προσαρμοσμένα μηνύματα ηλεκτρονικού ταχυδρομείου phishing, θέτοντας έτσι τα θύματα σε κίνδυνο μόλυνσης με malware.

Δείτε επίσης: Η Cisco διορθώνει ευπάθεια που επηρεάζει πολλές συσκευές

onenote malware

Η έρευνα της Proofpoint δείχνει μια ραγδαία αύξηση των κυβερνοεγκληματιών που προσπαθούν να εξαπλώσουν malware μέσω εγγράφων OneNote, τα οποία είναι ψηφιακά σημειωματάρια που τελειώνουν με την επέκταση αρχείου .one ως μέρος των εφαρμογών γραφείου Microsoft 365.

Οι επαγγελματίες της ασφάλειας στον κυβερνοχώρο έχουν μείνει έκπληκτοι από το γεγονός ότι τα έγγραφα OneNote χρησιμοποιούνται με αυτόν τον τρόπο, αλλά υπάρχει μια βασική εξήγηση πίσω από αυτό – μπορούν να παρακάμψουν ευκολότερα τα πρωτόκολλα ασφαλείας από ό,τι άλλα είδη συνημμένων αρχείων. Και φαίνεται να λειτουργεί.

Τα μηνύματα ηλεκτρονικού ψαρέματος, που στάλθηκαν για πρώτη φορά τον Δεκέμβριο του 2022, με τον αριθμό να αυξάνεται σημαντικά τον Ιανουάριο του 2023, προσπαθούν να παραδώσουν ένα από τα πολλά διαφορετικά malware payloads, συμπεριλαμβανομένων των AsyncRAT, Redline, AgentTesla και Doubleback, τα οποία έχουν σχεδιαστεί για να κλέβουν ευαίσθητες πληροφορίες από θύματα, συμπεριλαμβανομένων των ονομάτων χρήστη και των κωδικών πρόσβασης.

Δείτε επίσης: Google ads ωθούν “εικονικό” malware που έχει δημιουργηθεί για την υπεκφυγή των antivirus

Οι ερευνητές κυβερνοασφάλειας της Proofpoint παρατήρησαν ότι μια διαβόητη ομάδα hacking, η TA577 έχει αρχίσει να χρησιμοποιεί το OneNote για τη διάδοση του Qbot. Αντί να εκμεταλλεύεται πληροφορίες μόνο για προσωπικό τους όφελος, η ομάδα αυτή λειτουργεί ως initial access broker, δημοπρατώντας κλεμμένα ονόματα χρηστών και κωδικούς πρόσβασης σε άλλους κακόβουλους φορείς, όπως συμμορίες ransomware.

Μέχρι σήμερα έχουν εντοπιστεί και ταυτοποιηθεί περισσότερες από εξήντα από αυτές τις κακόβουλες εκστρατείες με την ίδια δομή. Τα μηνύματα ηλεκτρονικού ταχυδρομείου και τα αρχεία που επισυνάπτονται σε αυτά περιστρέφονται γύρω από θέματα όπως τιμολόγια, εμβάσματα, λεπτομέρειες αποστολής ή εποχιακά θέματα, όπως πληροφορίες για χριστουγεννιάτικα επιδόματα.

Για παράδειγμα, ένα μήνυμα phishing που στάλθηκε σε στόχους στον κατασκευαστικό και βιομηχανικό τομέα περιλάμβανε συνημμένα ονόματα σχετικά με εξαρτήματα μηχανών και προδιαγραφές, δείχνοντας ότι καταβλήθηκε τεράστια προσπάθεια για τη δημιουργία αυτού του δέλεαρ.

Άλλες καμπάνιες του OneNote είναι λίγο πιο συμβατικές και παραδίδονται σε χιλιάδες πιθανούς παραλήπτες ταυτόχρονα. Για παράδειγμα, μια καμπάνια που απευθυνόταν στον εκπαιδευτικό τομέα περιλάμβανε πλαστά τιμολόγια, ενώ μια άλλη διαδόθηκε ευρέως ισχυριζόμενη ότι προσφέρει χριστουγεννιάτικα δώρα ή μπόνους σε πολλά πιθανά θύματα.

Σε κάθε περίπτωση, η επίθεση phishing βασίζεται στο ότι το θύμα ανοίγει το email, ανοίγει το συνημμένο του OneNote και κάνει κλικ σε κακόβουλους συνδέσμους. Ενώ το OneNote προσφέρει ένα προειδοποιητικό μήνυμα για ύποπτους συνδέσμους, οι χρήστες στους οποίους έχει αποσταλεί ένα ειδικά διαμορφωμένο μήνυμα ηλεκτρονικού ταχυδρομείου για να απευθύνονται απευθείας σε αυτούς — ή πιστεύουν ότι μπορεί να λαμβάνουν μπόνους — θα μπορούσαν να επιχειρήσουν να παρακάμψουν αυτήν την προειδοποίηση.

Δείτε επίσης: Ο πρώην dev της Ubiquiti παρίστανε τον χάκερ και εκβίαζε τον εργοδότη του

Οι ειδικοί στον κυβερνοχώρο προειδοποιούν ότι αυτές οι εκστρατείες έχουν μεγαλύτερη πιθανότητα επιτυχίας αν τα μηνύματα ηλεκτρονικού ταχυδρομείου δεν μπλοκαριστούν και είναι πιθανό περισσότερες ομάδες του κυβερνοχώρου να χρησιμοποιούν αυτή την προσέγγιση για να μεταδώσουν με επιτυχία phishing ή malware.

Πηγή πληροφοριών: zdnet.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS