Útočníci používají k šíření malwaru přílohy Microsoft OneNote

Zpět na blog

Kyberzločinci používají přílohy OneNote v phishingových e-mailech – ty následně slouží k nasazení malwaru pro vzdálený přístup, k instalaci dalšího malwaru, krádeži hesel nebo dokonce peněženek s kryptoměnami.

Malware, který se stále šíří v e-mailech pomocí škodlivých příloh aplikací Word a Excel, které spouštějí makra pro stažení a instalaci malwaru, jsme viděli už mockrát. V červenci společnost Microsoft makra v dokumentech sady Office ve výchozím nastavení konečně zakázala, čímž se tento způsob šíření malwaru stal pro útočníky značně nespolehlivým. Brzy poté proto začali využívat nové formáty souborů, jako jsou ISO image a heslem chráněné soubory ZIP. Tyto formáty souborů se brzy dost rozšířily, k čemuž přispěla chyba systému Windows umožňující obejít bezpečnostní varování u souborů ISO a oblíbený archivační nástroj 7-Zip, který nešířil příznaky mark-of-the-web do souborů extrahovaných z archivů ZIP. 7-Zip i Windows však nedávno tyto chyby opravily, takže systém Windows při pokusu uživatele o otevření souborů ve stažených souborech ISO a ZIP konečně zobrazuje bezpečnostní varování.

Aktéři hrozeb se ale pochopitelně nenechali odradit a rychle přešli na používání nového formátu souborů v přílohách škodlivého spamu (malspamu): přílohy Microsoft OneNote.

Microsoft OneNote je aplikace, která slouží jako digitální poznámkový blok. Lze si ji stáhnout zdarma a je součástí sady Microsoft Office 2019 a Microsoft 365.

Vzhledem k tomu, že aplikace Microsoft OneNote je ve výchozím nastavení ve všech instalacích Microsoft Office/365, i když uživatel systému Windows tuto aplikaci nepoužívá, je stále k dispozici pro otevírání souborů v tomto formátu.

Ze vzorků nalezených serverem BleepingComputer vyplývá, že tyto malspamové e-maily se tváří jako oznámení od DHL, faktury, formuláře pro převod ACH, mechanické výkresy a přepravní dokumenty. Na rozdíl od aplikací Word a Excel nepodporuje OneNote makra, kterými dříve aktéři hrozeb spouštěli skripty pro instalaci malwaru. Místo toho OneNote umožňuje uživatelům vkládat přílohy do poznámkového bloku, které po dvojím kliknutí spustí přílohu. Aktéři hrozeb tuto funkci zneužívají tím, že připojují škodlivé přílohy VBS, které po dvojím kliknutí automaticky spustí skript ke stažení malwaru ze vzdáleného webu a jeho instalaci. Přílohy však vypadají jako ikona souboru v aplikaci OneNote, takže aktéři překrývají vložené přílohy VBS velkým pruhem „Dvojklikem zobrazíte soubor“. Po odsunutí lišty se ale ukázalo, že škodlivá příloha obsahuje více příloh. Tato řada příloh způsobuje, že pokud uživatel dvakrát klikne kdekoli na liště, přílohu spustí. Při spouštění příloh OneNote program varuje, že takový postup může poškodit počítač a data, ale historie nám bohužel ukázala, že tyto typy výzev jsou běžně ignorovány a uživatelé prostě spuštění odsouhlasí.

V malspamových e-mailech, které zaznamenal BleepingComputer, instalují soubory OneNote trojské koně se vzdáleným přístupem, které obsahují funkce pro krádež informací.

Ochrana proti těmto hrozbám

Nejlepším způsobem, jak se chránit před škodlivými přílohami, je jednoduše neotevírat soubory od lidí, které neznáte. Pokud však soubor omylem otevřete, dbejte na varování zobrazených operačním systémem nebo aplikací. Pokud se zobrazí varování, že otevření přílohy nebo odkazu může poškodit váš počítač nebo soubory, jednoduše nepotvrzujte provedení a aplikaci zavřete.

Máte-li pocit, že by se mohlo jednat o legitimní e-mail, sdílejte jej s technikem, který se stará o bezpečnost nebo správcem systému, aby vám pomohl ověřit, zda je soubor bezpečný.

Zdroj: BleepingComputer.com

3. 2. 2023