Atacantes Abusando de Archivos Adjuntos de OneNote para Difundir Malware RAT

A lo largo de los años, los actores de amenazas han estado desplegando malware en correos electrónicos a través de archivos adjuntos maliciosos de Microsoft Word y Excel, que luego lanzan macros para descargar e instalar el malware.

Ahora los atacantes han dirigido su atención a otra aplicación de Microsoft, Microsoft OneNote, de la misma manera, es decir, adjuntando archivos maliciosos de OneNote en correos electrónicos de phishing para instalar malware de acceso remoto en la computadora de la víctima para robar información sobre billeteras de criptomonedas, contraseñas o incluso instalar otro malware.

Como ya sabemos, OneNote es una aplicación de toma de notas de Microsoft y está incluida con Microsoft Office y 365. Dicho esto, el año pasado en julio, Microsoft, por defecto, deshabilitó nuevamente las macros en Office Excel y Word, lo que finalmente hizo que esta técnica fuera inútil.

Aunque eso no detuvo a los atacantes, ya que comenzaron a aprovechar los nuevos formatos de archivo como imágenes ISO y archivos Zip que están protegidos por contraseña! y, además, un error de Windows también ayudó, al eludir las advertencias de seguridad y la utilidad de archivo comprimido Zip no comunicando la marca de la web a los archivos extraídos.

Bueno, estos errores también fueron corregidos por Microsoft y 7 Zip, lo que provocó mensajes de seguridad alarmantes cuando el usuario intentó abrir un archivo descargado en archivos ISO y Zip.

Esto tampoco detuvo a los atacantes de amenazas, ya que luego cambiaron a usar un nuevo formato de archivo utilizando archivos adjuntos de spam maliciosos en OneNote de Microsoft.

Varios investigadores de empresas de ciberseguridad ya han advertido que los atacantes han estado distribuyendo correos electrónicos de spam que contienen archivos adjuntos maliciosos de OneNote desde mediados de diciembre.

🧵
➡️ Correo malicioso siendo entregado con documento de OneNote adjunto
➡️ El archivo adjunto de OneNote contiene un botón que, una vez clicado, ejecuta un archivo exportado ubicado en: “C:UsersuserAppDataLocalTempOneNote16.0Exported{UUID}NT” [1/3] pic.twitter.com/s6S7m18Fqo — Perception Point Attack Trends (@AttackTrends) 10 de enero de 2023

Según las muestras encontradas por Bleeping Computer, estos correos electrónicos de spam se hacían pasar por envíos de DHL, facturas, documentos de envío, dibujos mecánicos y formularios de remesas ACH.

Microsoft OneNote no soporta macros como Word o Excel, pero permite a los usuarios insertar archivos adjuntos en el cuaderno, y cuando se hace doble clic, ¡se abre el archivo adjunto!

Los atacantes de amenazas están aprovechando esta característica utilizando un archivo adjunto VBS que se abrirá automáticamente cuando los usuarios hagan doble clic en él para descargar el malware malicioso de un sitio remoto y luego instalarlo.

El archivo adjunto de OneNote simplemente parece un ícono de archivo, por lo que los adjuntadores colocan una gran superposición que dice “haga doble clic para ver archivos” sobre los archivos VBS adjuntos para ocultarlos.

Después de eso, cuando el usuario intenta alejarse de la barra “Haga clic para ver el documento”, el archivo adjunto malicioso tiene dos archivos adjuntos en él, y como hay una línea de archivos adjuntos, si el usuario hace doble clic en cualquier parte del botón, hará doble clic en los archivos adjuntos para descargarlos.

Al igual que cualquier otra advertencia de archivo que aparece cuando descargas de internet, OneNote también advierte al usuario antes de lanzarlo, pero como sabemos, los usuarios tienden a ignorarlo y hacer clic en Aceptar en su lugar.

Tan pronto como el usuario hace clic en el botón Aceptar, se activa el script VBS para descargar e instalar malware malicioso, y luego el archivo VBS malicioso descarga y ejecuta dos archivos desde el servidor remoto.

Un ejemplo de tal documento engañoso de OneNote es que parece ser un documento normal, pero en segundo plano, el archivo VBS instala el malware malicioso.

Un investigador de ciberseguridad menciona que los archivos adjuntos de OneNote están instalando malware de acceso remoto Async y Xworm. Otro malware distribuido por los actores de amenazas es el acceso remoto Quasar.

Estos tipos de troyanos, una vez instalados, permiten a los atacantes acceder remotamente al dispositivo comprometido para robar archivos, contraseñas del navegador, etc., por lo que es mejor no instalar archivos desconocidos, ya que podría causar problemas mayores.

Leer: Ciberdelincuentes Vendiendo Malware ‘Hook’ para Control Remoto de Smartphones