Angreifer missbrauchen OneNote-Anhänge zur Verbreitung von RAT-Malware

Im Laufe der Jahre haben Bedrohungsakteure Malware in E-Mails über bösartige Microsoft Word- und Excel-Anhänge bereitgestellt, die dann Makros ausführen, um die Malware herunterzuladen und zu installieren.

Jetzt haben Angreifer eine andere Microsoft-App, Microsoft OneNote, auf die gleiche Weise ins Visier genommen, d.h. sie fügen bösartige OneNote-Dateien in Phishing-E-Mails ein, um Remote-Access-Malware auf dem Computer des Opfers zu installieren, um Informationen zu Krypto-Wallets, Passwörtern oder sogar zur Installation anderer Malware zu stehlen.

Wie wir bereits wissen, ist OneNote eine Notiz-App von Microsoft und ist in Microsoft Office & 365 enthalten. Damit gesagt, hat Microsoft im Juli letzten Jahres standardmäßig die Makros in Office Excel & Word erneut deaktiviert, was diese Technik letztendlich nutzlos machte.

Obwohl das die Angreifer nicht aufhielt, begannen sie, die neuen Dateiformate wie ISO-Images und Zip-Dateien, die passwortgeschützt sind, auszunutzen! Und obendrauf half ein Windows-Bug, indem er die Sicherheitswarnungen umging und das Zip-Datei-Archivierungsprogramm nicht das Mark of the Web an die extrahierten Dateien kommunizierte.

Nun, diese Bugs wurden auch von Microsoft & 7 Zip behoben, was erschreckende Sicherheitsnachrichten auslöste, wenn der Benutzer versuchte, eine heruntergeladene Datei in ISO- & Zip-Dateien zu öffnen.

Das hielt die Bedrohungsakteure ebenfalls nicht auf, da sie dann zu einem neuen Dateiformat wechselten, indem sie bösartige Spam-Anhänge in Microsofts OneNote verwendeten.

Verschiedene Forscher von Cybersicherheitsfirmen haben bereits gewarnt, dass die Angreifer seit Mitte Dezember Spam-E-Mails mit bösartigen OneNote-Anhängen verteilen.

🧵
➡️ Malspam-Mail wird mit angehängtem OneNote-Dokument geliefert
➡️ Der OneNote-Anhang enthält einen Button, der, wenn er angeklickt wird, die exportierte Datei ausführt, die sich befindet in: “C:UsersuserAppDataLocalTempOneNote16.0Exported{UUID}NT” [1/3] pic.twitter.com/s6S7m18Fqo — Perception Point Attack Trends (@AttackTrends) 10. Januar 2023

Laut den von Bleeping Computer gefundenen Beispielen gaben sich diese Spam-E-Mails als DHL-Versand, Rechnungen, Versanddokumente, technische Zeichnungen und ACH-Zahlungsformulare aus.

Microsoft OneNote unterstützt keine Makros wie Word oder Excel, erlaubt es den Benutzern jedoch, Anhänge in das Notizbuch einzufügen, und wenn es doppelt angeklickt wird, öffnet es den Anhang!

Bedrohungsakteure nutzen diese Funktion aus, indem sie einen VBS-Anhang verwenden, der das Skript automatisch öffnet, wenn die Benutzer darauf doppelt klicken, um die bösartige Malware von einer entfernten Seite herunterzuladen und dann zu installieren.

Der OneNote-Anhang sieht einfach aus wie ein Dateisymbol, sodass die Angreifer dann eine große Überlagerung anbringen, die “Doppelklicken, um Dateien anzuzeigen” über die angehängten VBS-Dateien liest, um sie zu verbergen.

Danach, wenn der Benutzer versucht, sich von der “Klicken, um Dokument anzuzeigen”-Leiste zu entfernen, hat der bösartige Anhang zwei Anhänge darin, und da es eine Reihe von Anhängen gibt, wird, wenn der Benutzer irgendwo auf den Button doppelt klickt, auf die Anhänge doppelt geklickt, um sie herunterzuladen.

Wie bei jeder anderen Datei-Warnung, die Sie herunterladen, kommt auch OneNote mit einer Warnung für den Benutzer, bevor es gestartet wird, aber wie wir wissen, neigen Benutzer dazu, dies zu ignorieren und auf OK zu klicken.

Sobald der Benutzer auf die OK-Schaltfläche klickt, wird das VBS-Skript ausgelöst, um bösartige Malware herunterzuladen und dann zu installieren, und dann lädt die bösartige VBS-Datei zwei Dateien vom entfernten Server selbst herunter und führt sie aus.

Ein Beispiel für ein solches verlockendes OneNote-Dokument ist, dass es wie ein normales Dokument aussieht, aber im Hintergrund installiert die VBS-Datei die bösartige Malware.

Ein Cybersicherheitsforscher erwähnt, dass die OneNote-Anhänge Async- und Xworm-Remote-Access-Malware installieren. Eine andere von den Bedrohungsakteuren verbreitete Malware ist der Quasar-Remote-Access.

Diese Art von Trojanern, einmal installiert, ermöglicht es den Angreifern, remote auf das kompromittierte Gerät zuzugreifen, um Dateien, Browser-Passwörter usw. zu stehlen, daher ist es besser, keine unbekannten Dateien zu installieren, da dies zu größeren Problemen führen könnte.

Lesen: Cyberkriminelle verkaufen ‚Hook‘ Android-Malware zur Fernsteuerung von Smartphones