サイバーセキュリティ · 1 min read · Nov 26, 2025

攻撃者がOneNote添付ファイルを悪用してRATマルウェアを拡散

フィッシング

長年にわたり、脅威アクターは悪意のあるMicrosoft WordおよびExcelの添付ファイルを介してメールにマルウェアを展開しており、これによりマクロが起動してマルウェアをダウンロードおよびインストールします。

現在、攻撃者は同様の方法で別のMicrosoftアプリ、Microsoft OneNoteを標的にしています。つまり、フィッシングメールに悪意のあるOneNoteファイルを添付して、被害者のコンピュータにリモートアクセスマルウェアをインストールし、暗号通貨ウォレット、パスワード、さらには他のマルウェアをインストールする情報を盗みます。

ご存知の通り、OneNoteはMicrosoftのノートテイキングアプリであり、Microsoft Officeおよび365に含まれています。そう言えば、昨年7月、MicrosoftはOffice ExcelおよびWordでマクロをデフォルトで再度無効にし、この手法を無効にしました。

それでも攻撃者は止まらず、ISOイメージやパスワード保護されたZipファイルなどの新しいファイル形式を利用し始めました!さらに、Windowsのバグも役立ち、セキュリティ警告を回避し、Zipファイルアーカイブユーティリティが抽出されたファイルにウェブのマークを伝えないという問題がありました。

これらのバグもMicrosoftと7-Zipによって修正され、ユーザーがISOおよびZipファイルのダウンロードファイルを開こうとしたときに恐ろしいセキュリティメッセージが表示されました。

攻撃者がOneNote添付ファイルを悪用してRATマルウェアを拡散 1

これも脅威攻撃者を止めることはできず、彼らはMicrosoftのOneNoteで悪意のあるスパム添付ファイルを使用する新しいファイル形式に切り替えました。

サイバーセキュリティ企業のさまざまな研究者は、攻撃者が12月中旬から悪意のあるOneNote添付ファイルを含むスパムメールを配布していると警告しています。

🧵
➡️ 添付されたOneNoteドキュメントを含むマルスパムメールが配信されています
➡️ OneNote添付ファイルには、クリックすると「C:UsersuserAppDataLocalTempOneNote16.0Exported{UUID}NT」にあるエクスポートされたファイルを実行するボタンが含まれています。[1/3] pic.twitter.com/s6S7m18Fqo — Perception Point Attack Trends (@AttackTrends) 2023年1月10日

Bleeping Computerによって見つかったサンプルによると、これらのスパムメールはDHLの配送、請求書、配送文書、機械図面、ACH送金フォームを偽装していました。

攻撃者がOneNote添付ファイルを悪用してRATマルウェアを拡散 2

Microsoft OneNoteはWordやExcelのようにマクロをサポートしていませんが、ユーザーがノートブックに添付ファイルを挿入することを許可しており、ダブルクリックすると添付ファイルが開きます!

脅威攻撃者は、この機能を利用して、ユーザーがダブルクリックするとスクリプトが自動的に開くVBS添付ファイルを使用し、リモートサイトから悪意のあるマルウェアをダウンロードしてインストールします。

OneNoteの添付ファイルは単にファイルアイコンのように見えるため、攻撃者は添付されたVBSファイルの上に「ファイルを表示するにはダブルクリック」と書かれた大きなオーバーレイを置いて隠します。

攻撃者がOneNote添付ファイルを悪用してRATマルウェアを拡散 3

その後、ユーザーが「ドキュメントを表示する」バーから離れようとすると、悪意のある添付ファイルには2つの添付ファイルが含まれており、添付ファイルの行があるため、ユーザーがボタンのどこかをダブルクリックすると、添付ファイルがダウンロードされます。

攻撃者がOneNote添付ファイルを悪用してRATマルウェアを拡散 4

インターネットからダウンロードした他のファイル警告と同様に、OneNoteも起動する前にユーザーに警告しますが、ユーザーはそれを無視してOKをクリックする傾向があります。

攻撃者がOneNote添付ファイルを悪用してRATマルウェアを拡散 5

ユーザーがOKボタンをクリックすると、VBSスクリプトがトリガーされ、悪意のあるマルウェアをダウンロードしてインストールし、その後、悪意のあるVBSファイルがリモートサーバーから2つのファイルをダウンロードして実行します。

そのような誘惑的なOneNoteドキュメントの一例は、通常のドキュメントのように見えますが、バックグラウンドでVBSファイルが悪意のあるマルウェアをインストールします。

サイバーセキュリティ研究者は、OneNoteの添付ファイルがAsyncおよびXwormリモートアクセスマルウェアをインストールしていると述べています。脅威アクターによって配布される別のマルウェアはQuasarリモートアクセスです。

このようなトロイの木馬は、一度インストールされると、攻撃者が侵害されたデバイスにリモートアクセスしてファイルやブラウザのパスワードを盗むことを可能にします。したがって、未知のファイルをインストールしない方が良いでしょう。重大な問題を引き起こす可能性があります。

読む: サイバー犯罪者がスマートフォンのリモート制御用に「Hook」Androidマルウェアを販売

Share: X/Twitter LinkedIn
#サイバーセキュリティ

新しい投稿を受信箱で受け取る

スパムはありません。いつでも購読を解除できます。