Gli hacker ora utilizzano gli allegati di Microsoft OneNote per diffondere malware
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 23 Gennaio 2023
Tags: #microsoft, @onenote, #malware
Tags: #microsoft, @onenote, #malware
Gli hacker ora utilizzano gli allegati di Microsoft OneNote per diffondere malware
E-mail dannose che installano malware
Gli autori delle minacce ora utilizzano allegati OneNote nelle e-mail di phishing che infettano le vittime con malware ad accesso remoto che possono essere utilizzati per installare ulteriore malware, rubare password o persino portafogli di criptovaluta.
Ciò avviene dopo che gli aggressori hanno distribuito malware nelle e-mail utilizzando allegati Word ed Excel dannosi che avviano macro per scaricare e installare malware per anni.
Tuttavia, a luglio, Microsoft ha finalmente disabilitato le macro per impostazione predefinita nei documenti di Office, rendendo questo metodo inaffidabile per la distribuzione di malware.
Subito dopo, gli attori delle minacce hanno iniziato a utilizzare nuovi formati di file, come immagini ISO e file ZIP protetti da password. Questi formati di file sono diventati presto estremamente comuni, aiutati da un bug di Windows che consente agli ISO di aggirare gli avvisi di sicurezza e la popolare utility di archiviazione 7-Zip che non propaga flag mark-of-the-web ai file estratti dagli archivi ZIP.
Tuttavia, sia 7-Zip che Windows hanno recentemente risolto questi bug causando la visualizzazione di avvisi di sicurezza spaventosi quando un utente tenta di aprire i file nei file ISO e ZIP scaricati.
Per non farsi scoraggiare, gli attori delle minacce sono passati rapidamente all'utilizzo di un nuovo formato di file nei loro allegati di spam dannoso (malspam): gli allegati di Microsoft OneNote.
Abuso degli allegati di OneNote
Microsoft OneNote è un'applicazione per notebook digitale desktop che può essere scaricata gratuitamente ed è inclusa in Microsoft Office 2019 e Microsoft 365.
Poiché Microsoft OneNote è installato per impostazione predefinita in tutte le installazioni di Microsoft Office/365, anche se un utente Windows non utilizza l'applicazione, è comunque disponibile per aprire il formato del file.
Da metà dicembre, i ricercatori di sicurezza informatica hanno avvertito che gli attori delle minacce avevano iniziato a distribuire e-mail di spam dannose contenenti allegati OneNote.
Dai campioni trovati da BleepingComputer, queste e-mail di malspam fingono di essere notifiche di spedizione DHL, fatture, moduli di rimessa ACH, disegni meccanici e documenti di spedizione.
A differenza di Word ed Excel, OneNote non supporta le macro, che è il modo in cui gli attori delle minacce hanno precedentemente avviato script per installare malware.
Invece, OneNote consente agli utenti di inserire allegati in un Blocco note che, se fatto doppio clic, avvierà l'allegato.
Gli attori delle minacce stanno abusando di questa funzione allegando allegati VBS dannosi che avviano automaticamente lo script quando si fa doppio clic per scaricare malware da un sito remoto e installarlo.
Tuttavia, gli allegati sembrano l'icona di un file in OneNote, quindi gli autori delle minacce sovrappongono una grande barra "Fai doppio clic per visualizzare il file" sugli allegati VBS inseriti per nasconderli.
Quando sposti la barra Fai clic per visualizzare il documento, puoi vedere che l'allegato dannoso include più allegati. Questa riga di allegati fa in modo che se un utente fa doppio clic in un punto qualsiasi della barra, farà doppio clic sull'allegato per avviarlo.
Per fortuna, quando avvii gli allegati di OneNote, il programma ti avvisa che così facendo potresti danneggiare il tuo computer e i tuoi dati.
Ma sfortunatamente, la storia ci ha mostrato che questi tipi di prompt vengono comunemente ignorati e gli utenti fanno semplicemente clic sul pulsante OK.
Facendo clic sul pulsante OK verrà avviato lo script VBS per scaricare e installare il malware. Come puoi vedere da uno dei file dannosi OneNote VBS trovati da BleepingComputer, lo script scaricherà ed eseguirà due file da un server remoto.
Il primo mostrato di seguito è un documento OneNote esca che si apre e assomiglia al documento che ti aspettavi. Tuttavia, il file VBS eseguirà anche un file batch dannoso in background per installare malware sul dispositivo.
Nelle e-mail malspam visualizzate da BleepingComputer, i file OneNote installano trojan di accesso remoto che includono funzionalità di furto di informazioni.
Il ricercatore di sicurezza informatica James lo ha confermato, dicendo a BleepingComputer che gli allegati OneNote che ha analizzato installavano i trojan di accesso remoto AsyncRAT e XWorm.
Consiglio dell'esperto: se non stai già bloccando i file .one sul tuo perimetro/gateway di posta elettronica... è giunto il momento.
— James (@James_inthe_box) 17 gennaio 2023
Un allegato OneNote visto da BleepingComputer installa quello che viene rilevato come trojan Quasar Remote Access.
Protezione contro queste minacce
Una volta installato, questo tipo di malware consente agli autori delle minacce di accedere in remoto al dispositivo di una vittima per rubare file, salvare le password del browser, acquisire schermate e, in alcuni casi, persino registrare video utilizzando le webcam.
Gli attori delle minacce utilizzano comunemente anche trojan di accesso remoto per rubare portafogli di criptovaluta dai dispositivi delle vittime, rendendo questa infezione costosa.
Il modo migliore per proteggersi da allegati dannosi è semplicemente non aprire i file di persone che non conosci. Tuttavia, se si apre un file per errore, non ignorare gli avvisi visualizzati dal sistema operativo o dall'applicazione.
Se viene visualizzato un avviso che l'apertura di un allegato o di un collegamento potrebbe danneggiare il computer o i file, è sufficiente non premere OK e chiudere l'applicazione.
Se ritieni che possa essere un'e-mail legittima, condividila con un amministratore di sicurezza o di Windows per aiutarti a verificare se il file è sicuro.