Attaccanti che Abusano degli Allegati OneNote per Diffondere Malware RAT

Negli anni, gli attori delle minacce hanno distribuito malware via email tramite allegati malevoli di Microsoft Word ed Excel, che poi avviano macro per scaricare e installare il malware.

Ora gli attaccanti hanno preso di mira un’altra app Microsoft, Microsoft OneNote, nello stesso modo, ovvero allegando file OneNote malevoli in email di phishing per installare malware di accesso remoto sul computer della vittima per rubare informazioni riguardanti portafogli crypto, password, o persino installare altro malware.

Come già sappiamo, OneNote è un’app per prendere appunti di Microsoft ed è inclusa con Microsoft Office e 365. Detto ciò, lo scorso anno a luglio, Microsoft ha disabilitato di default le macro in Office Excel e Word, il che ha reso questa tecnica inutile.

Tuttavia, ciò non ha fermato gli attaccanti, poiché hanno iniziato a sfruttare i nuovi formati di file come le immagini ISO e i file Zip che sono protetti da password! E in aggiunta, un bug di Windows ha aiutato, bypassando gli avvisi di sicurezza e l’utilità di archiviazione dei file zip che non comunicava il marchio del web ai file estratti.

Bene, questi bug sono stati anche corretti da Microsoft e 7 Zip, che hanno attivato messaggi di sicurezza inquietanti quando l’utente ha provato ad aprire un file scaricato in ISO e Zip.

Questo non ha fermato nemmeno gli attaccanti, poiché hanno poi iniziato a utilizzare un nuovo formato di file usando allegati di spam malevoli in OneNote di Microsoft.

Vari ricercatori di aziende di cybersecurity hanno già avvertito che gli attaccanti hanno distribuito email di spam contenenti allegati OneNote malevoli da metà dicembre.

🧵
➡️ Email di malspam consegnate con documento onenote allegato
➡️ L’allegato onenote contiene un pulsante che, una volta cliccato, esegue il file esportato situato in: “C:UsersuserAppDataLocalTempOneNote16.0Exported{UUID}NT” [1/3] pic.twitter.com/s6S7m18Fqo — Perception Point Attack Trends (@AttackTrends) 10 gennaio 2023

Secondo i campioni trovati da Bleeping Computer, queste email di spam impersonavano DHL shipping, fatture, documenti di spedizione, disegni meccanici e moduli di rimessa ACH.

Microsoft OneNote non supporta le macro come Word o Excel, ma consente agli utenti di inserire allegati nel taccuino, e quando viene cliccato due volte, apre l’allegato!

Gli attaccanti delle minacce stanno approfittando di questa funzione utilizzando un allegato VBS che aprirà automaticamente lo script quando gli utenti ci cliccano due volte per scaricare il malware malevolo da un sito remoto e poi installarlo.

L’allegato OneNote appare semplicemente come un’icona di file, quindi gli attaccanti mettono un grande sovrapposto che legge “clicca due volte per visualizzare i file” sopra i file VBS allegati per nasconderli.

Dopo di che, quando l’utente prova a spostarsi dalla barra “Clicca per visualizzare il documento”, l’allegato malevolo ha due allegati al suo interno, e poiché c’è una linea di allegati, se l’utente clicca due volte ovunque sul pulsante, cliccherà due volte sugli allegati per scaricarli.

Proprio come qualsiasi altro avviso di file che arriva quando scarichi da internet! Anche OneNote avverte l’utente prima di avviarlo, ma come sappiamo, gli utenti tendono a ignorarlo e cliccare su OK invece.

Non appena l’utente clicca sul pulsante OK, attiva lo script VBS per scaricare e poi installare malware malevolo, e poi il file VBS malevolo scarica e esegue due file dal server remoto stesso.

Un esempio di un documento OneNote ingannevole è che appare come un normale documento, ma in background, il file VBS installa il malware malevolo.

Un ricercatore di cybersecurity menziona che gli allegati OneNote stanno installando malware di accesso remoto Async e Xworm. Un altro malware distribuito dagli attori delle minacce è il Quasar di accesso remoto.

Questi tipi di trojan, una volta installati, consentono agli attaccanti di accedere da remoto al dispositivo compromesso per rubare file, password del browser, ecc., quindi è meglio non installare file sconosciuti poiché potrebbe causare problemi seri.

Leggi: Cybercriminali Vendono Malware Android ‘Hook’ per Controllo Remoto degli Smartphone