MKD-CIRT National Centre for Computer Incident Response
Хакерите сега користат OneNote прилози во фишинг-мејлови кои ги инфицираат жртвите со малициозен софтвер за далечински пристап кој може да се користи за инсталирање дополнителен малициозен софтвер, кражба на лозинки или паричници со криптовалути.
Ова доаѓа откако напаѓачите со години дистрибуираа малициозен софтвер во е-пошта користејќи малициозни прилози на Word и Excel кои лансираат макроа за преземање и инсталирање малициозен софтвер.
Меѓутоа, во јули, Мајкрософт конечно ги оневозможи макроата стандардно во документите на Office, што го прави овој метод несигурен за дистрибуција на малициозен софтвер.
Набргу потоа, хакерите почнаа да користат нови формати на датотеки, како што се ISO слики и ZIP-датотеки заштитени со лозинка. Овие формати на датотеки наскоро станаа исклучително вообичаени, потпомогнати од грешката на Windows што дозволува ISO да ги заобиколат безбедносните предупредувања и популарната алатка 7-Zip што не пропагира ознаки на веб-локацијата на датотеките извлечени од ZIP архивите.
Сепак, и 7-Zip и Windows неодамна ги поправија овие грешки што предизвикуваат Windows да прикажува безбедносни предупредувања кога корисникот се обидува да отвори датотеки во преземените ISO и ZIP-датотеки.
За да не се одвратат, хакерите брзо се префрлија на користење на нов формат на датотека во нивните малициозни спам (malspam) прилози: Microsoft OneNote прилози.
Microsoft OneNote е десктоп дигитална апликација за белешки која може да се преземе бесплатно и е вклучена во Microsoft Office 2019 и Microsoft 365.
Бидејќи Microsoft OneNote е стандардно инсталиран во сите инсталации на Microsoft Office/365, дури и ако корисникот на Windows не ја користи апликацијата, таа сè уште е достапна за отворање на форматот на датотеката.
Од средината на декември, Trustwave SpiderLabs предупреди дека хакерите почнале да дистрибуираат малициозни спам-мејлови кои содржат OneNote прилози.
Од примероците пронајдени од страна на BleepingComputer, овие malspam е-пораки се преправаат дека се известувања за испорака на DHL, фактури, формулари за дознаки од ACH, механички цртежи и документи за испорака.
За разлика од Word и Excel, OneNote не поддржува макроа, така што хакерите претходно лансираа скрипти за инсталирање малициозен софтвер.
Наместо тоа, OneNote им овозможува на корисниците да вметнуваат прилози во NoteBook што, кога ќе се кликне двапати, ќе го стартува прилогот.
Хакерите ја злоупотребуваат оваа функција со прикачување на малициозни прилози на VBS кои автоматски ја стартуваат скриптата кога ќе се кликне двапати за да се преземе малициозен софтвер од оддалечена локација и да се инсталира.
Сепак, прилозите изгледаат како икона на датотека во OneNote, така што хакерите ја преклопуваат големата лента „Двоен клик за да ја видите датотеката“ над вметнати VBS прилози за да ги сокријат.
Кога ќе ја поместите лентата „Кликни за преглед на документ“, може да видите дека малициозниот прилог вклучува повеќе прилози. Овој ред на прилози се прави така што ако корисникот кликне двапати каде било на лентата, ќе кликне двапати на прилогот за да го стартува.
За среќа, кога ги стартувате прилозите на OneNote, програмата ве предупредува дека тоа може да му наштети на вашиот компјутер и податоци.
Но, за жал, историјата ни покажа дека овие типови на потсетници најчесто се игнорираат, а корисниците само кликнуваат на копчето ОК.
Со кликнување на копчето ОК ќе се стартува VBS скриптата за преземање и инсталирање малициозен софтвер.
Како што можете да видите од една од злонамерните OneNote VBS датотеки пронајдени од страна на BleepingComputer, скриптата ќе преземе и изврши две датотеки од оддалечен сервер.
Откако ќе се инсталира, овој тип на малициозен софтвер им овозможува на хакерите далечински пристап до уредот на жртвата за да украдат датотеки, зачувани лозинки на прелистувачот, да прават слики од екранот, а во некои случаи дури и да снимаат видео со помош на веб-камери.
Хакерите, исто така, најчесто користат тројанци со далечински пристап за да украдат паричници со криптовалути од уредите на жртвите, што го прави ова скапа инфекција.
Најдобар начин да се заштитите од малициозни прилози е едноставно да не отворате датотеки од луѓе што не ги познавате. Меѓутоа, ако погрешно отворите датотека, не занемарувајте ги предупредувањата прикажани од оперативниот систем или апликацијата.
Ако видите предупредување дека отворањето прилог или врска може да му наштети на вашиот компјутер или датотеки, едноставно не притиснете ОК и затворете ја апликацијата.
Ако сметате дека можеби е легитимна е-пошта, споделете ја со безбедносен или Windows администратор за да ви помогне да потврдите дали датотеката е безбедна.
Извор: BleepingComputer
