Atacantes Abusando de Anexos do OneNote para Espalhar Malware RAT

Ao longo dos anos, atores de ameaças têm implantado malware em e-mails através de anexos maliciosos do Microsoft Word e Excel, que então lançam macros para baixar e instalar o malware.

Agora, os atacantes direcionaram outro aplicativo da Microsoft, o Microsoft OneNote, da mesma forma, ou seja, anexando arquivos maliciosos do OneNote em e-mails de phishing para instalar malware de acesso remoto no computador da vítima para roubar informações sobre carteiras de criptomoedas, senhas ou até mesmo instalar outro malware.

Como já sabemos, o OneNote é um aplicativo de anotações da Microsoft e está incluído no Microsoft Office e 365. Dito isso, no ano passado, em julho, a Microsoft, por padrão, desativou novamente as macros no Office Excel e Word, o que, em última análise, tornou essa técnica inútil.

Embora isso não tenha impedido os atacantes, pois eles começaram a aproveitar os novos formatos de arquivo, como imagens ISO e arquivos Zip que são protegidos por senha! E, além disso, um bug do Windows também ajudou, ao contornar os avisos de segurança e a utilidade de arquivamento de arquivos zip não comunicar a marca da web para os arquivos extraídos.

Bem, esses bugs também foram corrigidos pela Microsoft e pelo 7 Zip, que acionaram mensagens de segurança assustadoras quando o usuário tentou abrir um arquivo baixado em arquivos ISO e Zip.

Isso também não impediu os atacantes de ameaças, pois eles então mudaram para usar um novo formato de arquivo usando anexos de spam maliciosos no OneNote da Microsoft.

Vários pesquisadores de empresas de cibersegurança já alertaram que os atacantes têm distribuído e-mails de spam contendo anexos maliciosos do OneNote desde meados de dezembro.

🧵
➡️ E-mail de malspam sendo entregue com documento onenote anexado
➡️ O anexo do onenote contém um botão que, uma vez clicado, executa o arquivo exportado localizado em: “C:UsersuserAppDataLocalTempOneNote16.0Exported{UUID}NT” [1/3] pic.twitter.com/s6S7m18Fqo — Perception Point Attack Trends (@AttackTrends) 10 de janeiro de 2023

De acordo com as amostras encontradas pelo Bleeping Computer, esses e-mails de spam se faziam passar por remessas da DHL, faturas, documentos de remessa, desenhos mecânicos e formulários de remessa ACH.

O Microsoft OneNote não suporta macros como o Word ou Excel, mas permite que os usuários insiram anexos no caderno, e quando é clicado duas vezes, ele abre o anexo!

Os atacantes de ameaças estão aproveitando essa funcionalidade usando um anexo VBS que abrirá automaticamente o script quando os usuários clicarem duas vezes para baixar o malware malicioso de um site remoto e, em seguida, instalá-lo.

O anexo do OneNote simplesmente se parece com um ícone de arquivo, então os anexadores colocam uma grande sobreposição que diz “clique duas vezes para visualizar arquivos” sobre os arquivos VBS anexados para escondê-los.

Depois disso, quando o usuário tenta se afastar da barra “Clique para Ver Documento”, o anexo malicioso tem dois anexos nele, e como há uma linha de anexos, se o usuário clicar duas vezes em qualquer lugar no botão, ele clicará duas vezes nos anexos para baixá-los.

Assim como qualquer outro aviso de arquivo que aparece quando você baixa da internet! O OneNote também avisa o usuário antes de lançá-lo, mas como sabemos, os usuários tendem a ignorá-lo e clicar em OK em vez disso.

Assim que o usuário clica no botão OK, isso aciona o script VBS para baixar e, em seguida, instalar o malware malicioso, e então o arquivo VBS malicioso baixa e executa dois arquivos do servidor remoto.

Um exemplo de tal documento OneNote enganoso é que ele parece ser um documento normal, mas em segundo plano, o arquivo VBS instala o malware malicioso.

Um pesquisador de cibersegurança menciona que os anexos do OneNote estão instalando malware de acesso remoto Async e Xworm. Outro malware distribuído pelos atores de ameaça é o Quasar de acesso remoto.

Esses tipos de trojans, uma vez instalados, permitem que os atacantes acessem remotamente o dispositivo comprometido para roubar arquivos, senhas do navegador, etc., então é melhor não instalar arquivos desconhecidos, pois isso pode causar problemas sérios.

Leia: Cibercriminosos Vendendo Malware Android ‘Hook’ para Controle Remoto de Smartphones