Les attaquants abusent des pièces jointes OneNote pour propager des malwares RAT

Au fil des ans, les acteurs de la menace ont déployé des malwares dans des e-mails via des pièces jointes malveillantes de Microsoft Word et Excel, qui lancent ensuite des macros pour télécharger et installer le malware.

Maintenant, les attaquants ont ciblé une autre application Microsoft, Microsoft OneNote, de la même manière, c’est-à-dire en joignant des fichiers OneNote malveillants dans des e-mails de phishing pour installer des malwares d’accès à distance sur l’ordinateur de la victime afin de voler des informations concernant des portefeuilles crypto, des mots de passe, ou même d’installer d’autres malwares.

Comme nous le savons déjà, OneNote est une application de prise de notes de Microsoft et est incluse avec Microsoft Office et 365. Cela dit, l’année dernière en juillet, Microsoft a désactivé par défaut les macros dans Office Excel et Word, ce qui a finalement rendu cette technique inutile.

Bien que cela n’ait pas arrêté les attaquants, car ils ont commencé à tirer parti des nouveaux formats de fichiers tels que les images ISO et les fichiers Zip qui sont protégés par mot de passe ! Et en plus, un bug de Windows a également aidé, en contournant les avertissements de sécurité et l’utilitaire d’archive de fichiers zip ne communiquant pas la marque du web aux fichiers extraits.

Eh bien, ces bugs ont également été corrigés par Microsoft et 7 Zip, ce qui a déclenché des messages de sécurité inquiétants lorsque l’utilisateur a essayé d’ouvrir un fichier téléchargé dans des fichiers ISO et Zip.

Cela n’a pas non plus arrêté les attaquants, car ils ont ensuite commencé à utiliser un nouveau format de fichier en utilisant des pièces jointes de spam malveillantes dans OneNote de Microsoft.

Divers chercheurs d’entreprises de cybersécurité ont déjà averti que les attaquants distribuaient des e-mails de spam contenant des pièces jointes OneNote malveillantes depuis la mi-décembre.

🧵
➡️ E-mail malveillant livré avec un document OneNote en pièce jointe
➡️ La pièce jointe OneNote contient un bouton qui, une fois cliqué, exécute un fichier exporté situé dans : “C:UsersuserAppDataLocalTempOneNote16.0Exported{UUID}NT” [1/3] pic.twitter.com/s6S7m18Fqo — Perception Point Attack Trends (@AttackTrends) 10 janvier 2023

Selon les échantillons trouvés par Bleeping Computer, ces e-mails de spam se faisaient passer pour des expéditions DHL, des factures, des documents d’expédition, des dessins mécaniques et des formulaires de remise ACH.

Microsoft OneNote ne prend pas en charge les macros comme Word ou Excel, mais il permet aux utilisateurs d’insérer des pièces jointes dans le carnet de notes, et lorsqu’il est double-cliqué, il ouvre la pièce jointe !

Les attaquants profitent de cette fonctionnalité en utilisant une pièce jointe VBS qui ouvrira automatiquement le script lorsque les utilisateurs double-cliquent dessus pour télécharger le malware malveillant depuis un site distant et ensuite l’installer.

La pièce jointe OneNote ressemble simplement à une icône de fichier, donc les attaquants mettent ensuite un grand superposé qui indique de double-cliquer pour voir les fichiers sur les fichiers VBS joints pour les cacher.

Après cela, lorsque l’utilisateur essaie de s’éloigner de la barre Cliquez pour voir le document, la pièce jointe malveillante a deux pièces jointes à l’intérieur, et comme il y a une ligne de pièces jointes, si l’utilisateur double-clique n’importe où sur le bouton, cela double-cliquera sur les pièces jointes pour les télécharger.

Tout comme tout autre avertissement de fichier qui apparaît lorsque vous téléchargez depuis Internet ! OneNote avertit également l’utilisateur avant de le lancer, mais comme nous le savons, les utilisateurs ont tendance à l’ignorer et à cliquer sur OK à la place.

Dès que l’utilisateur clique sur le bouton OK, cela déclenche le script VBS pour télécharger puis installer le malware malveillant, et ensuite le fichier VBS malveillant télécharge et exécute deux fichiers depuis le serveur distant lui-même.

Un exemple d’un tel document OneNote trompeur est qu’il semble être un document normal, mais en arrière-plan, le fichier VBS installe le malware malveillant.

Un chercheur en cybersécurité mentionne que les pièces jointes OneNote installent des malwares d’accès à distance Async et Xworm. Un autre malware distribué par les acteurs de la menace est le Quasar d’accès à distance.

Ces types de trojans, une fois installés, permettent aux attaquants d’accéder à distance à l’appareil compromis pour voler des fichiers, des mots de passe de navigateur, etc., donc il est préférable de ne pas installer de fichiers inconnus car cela pourrait causer de gros problèmes.

Lire : Cybercriminels vendant des malwares Android ‘Hook’ pour le contrôle à distance des smartphones