Злоумышленники используют вложения OneNote для распространения RAT-вредоносного ПО

На протяжении многих лет злоумышленники использовали вредоносное ПО в электронных письмах через вредоносные вложения Microsoft Word и Excel, которые затем запускали макросы для загрузки и установки вредоносного ПО.

Теперь злоумышленники нацелились на другое приложение Microsoft, Microsoft OneNote, тем же способом, т.е. прикрепляя вредоносные файлы OneNote в фишинговых письмах для установки вредоносного ПО удаленного доступа на компьютер жертвы с целью кражи информации о криптокошельках, паролях или даже установки другого вредоносного ПО.

Как мы уже знаем, OneNote — это приложение для заметок от Microsoft и входит в состав Microsoft Office и 365. Сказав это, в прошлом году в июле Microsoft по умолчанию снова отключила макросы в Office Excel и Word, что в конечном итоге сделало эту технику бесполезной.

Хотя это не остановило злоумышленников, так как они начали использовать новые форматы файлов, такие как ISO-образы и ZIP-файлы, которые защищены паролем! И, кроме того, ошибка Windows также помогла, обойдя предупреждения о безопасности и утилита архивации ZIP не сообщала о метке веба для извлеченных файлов.

Что ж, эти ошибки также были исправлены Microsoft и 7 Zip, которые вызывали пугающие сообщения о безопасности, когда пользователь пытался открыть загруженный файл в ISO и ZIP-файлах.

Это также не остановило злоумышленников, так как они затем переключились на использование нового формата файла, используя вредоносные спам-вложения в OneNote от Microsoft.

Различные исследователи из компаний по кибербезопасности уже предупреждали, что злоумышленники распространяли спам-письма с вредоносными вложениями OneNote с середины декабря.

🧵
➡️ Спам-письма доставляются с прикрепленным документом OneNote
➡️ Вложение OneNote содержит кнопку, которая, когда на нее нажимают, выполняет экспортированный файл, расположенный в: “C:UsersuserAppDataLocalTempOneNote16.0Exported{UUID}NT” [1/3] pic.twitter.com/s6S7m18Fqo — Perception Point Attack Trends (@AttackTrends) 10 января 2023 г.

Согласно образцам, найденным Bleeping Computer, эти спамные письма выдавали себя за DHL, счета, транспортные документы, механические чертежи и формы ACH.

Microsoft OneNote не поддерживает макросы, как Word или Excel, но позволяет пользователям вставлять вложения в блокнот, и когда на него дважды щелкают, он открывает вложение!

Злоумышленники используют эту функцию, применяя вложение VBS, которое автоматически открывает скрипт, когда пользователи дважды щелкают по нему, чтобы загрузить вредоносное ПО с удаленного сайта и затем установить его.

Вложение OneNote просто выглядит как значок файла, поэтому злоумышленники накладывают большой оверлей с надписью “двойной щелчок, чтобы просмотреть файлы” на прикрепленные файлы VBS, чтобы скрыть их.

После этого, когда пользователь пытается уйти от панели “Нажмите, чтобы просмотреть документ”, вредоносное вложение имеет два вложения в нем, и так как есть ряд вложений, если пользователь дважды щелкнет в любом месте на кнопке, это приведет к двойному щелчку на вложениях для их загрузки.

Как и любое другое предупреждение о файлах, которое приходит, когда вы загружаете из интернета! OneNote также предупреждает пользователя перед запуском, но, как мы знаем, пользователи склонны игнорировать это и нажимать ОК вместо этого.

Как только пользователь нажимает кнопку ОК, это запускает скрипт VBS для загрузки и затем установки вредоносного ПО, и затем вредоносный файл VBS загружает и запускает два файла с удаленного сервера.

Одним из примеров такого заманчивого документа OneNote является то, что он выглядит как обычный документ, но на заднем плане файл VBS устанавливает вредоносное ПО.

Исследователь в области кибербезопасности упоминает, что вложения OneNote устанавливают вредоносное ПО удаленного доступа Async и Xworm. Другим вредоносным ПО, распространяемым злоумышленниками, является Quasar удаленного доступа.

Эти виды троянов, после установки, позволяют злоумышленникам удаленно получать доступ к скомпрометированному устройству для кражи файлов, паролей браузера и т.д., поэтому лучше не устанавливать неизвестные файлы, так как это может вызвать серьезные проблемы.

Читать: Киберпреступники продают вредоносное ПО ‘Hook’ для удаленного управления смартфонами