Los piratas informáticos están utilizando un nuevo formato de archivo en forma de archivos adjuntos de Microsoft OneNote para propagar malware a sus objetivos. Al hacer doble clic en los archivos adjuntos de spam malicioso, se inicia automáticamente el script, lo que hace que se descargue e instale el malware de un sitio remoto. (Trustwave vía Bleeping Computer)
OneNote sigue siendo una de las partes relevantes de Microsoft 365. El gigante del software presenta y prueba continuamente nuevas funciones en la aplicación, lo que la convierte en una ruta decente para que los piratas informáticos realicen sus delitos. Y en un nuevo descubrimiento, los profesionales de seguridad dijeron que los malhechores ahora confían en los archivos adjuntos de OneNote para instalar software malicioso en las máquinas de las víctimas.
?
?? Correo no deseado malintencionado entregado con un documento adjunto de una nota
?? El archivo adjunto de Onenote contiene un botón que, una vez que se hace clic, ejecuta el archivo exportado ubicado en:”C:UsersuserAppDataLocalTempOneNote16.0Exported{UUID}NT�”[1/3] pic.twitter.com/s6S7m18Fqo— Tendencias de ataques de puntos de percepción (@AttackTrends) 10 de enero de 2023
La advertencia de los expertos en seguridad comenzó en diciembre del año pasado. Trustwave, una empresa de ciberseguridad, publicó un informe el mes pasado compartiendo el descubrimiento de la nueva estrategia.
“…A través de esta investigación en curso, descubrimos actores de amenazas que utilizan un documento de OneNote para mover el malware Formbook, un troyano que roba información vendido en un foro clandestino de hacking desde mediados de 2016 como malware como servicio”, comparte Trustwave en su blog.”Un tipo de archivo que nos llamó la atención el 6 de diciembre de 2022 fue el archivo adjunto de OneNote mencionado anteriormente, con una extensión.one adjunta a un correo electrónico no deseado en nuestro sistema de telemetría”.
Un informe separado de Bleeping Computer compartió que los archivos adjuntos se disfrazan como documentos confiables para las empresas, incluidas facturas, dibujos mecánicos, notificaciones de envío de DHL, formularios de envío de ACH y documentos de envío. Sin embargo, se dice que los archivos son archivos adjuntos VBS maliciosos que pueden iniciar secuencias de comandos automáticamente cuando los usuarios simplemente hacen doble clic en ellos.
Para engañar a los usuarios, los atacantes utilizan una imagen de señuelo a través del”doble clic para superposición de la barra”ver archivo”o”Ver documento”sobre los archivos adjuntos. Al mover o hacer clic en esta superposición, se mostrarán los múltiples archivos adjuntos, y al hacer doble clic en cualquier lugar de la barra, se hará doble clic en el archivo adjunto, lo que provocará el inicio del script.
Como nota positiva, Microsoft siempre tiene una forma de advertir a los usuarios de este peligro. Como tal, la aplicación mostrará una advertencia que indica que”abrir archivos adjuntos podría dañar su computadora y sus datos”. Aquí es donde los usuarios pueden cometer el mayor error al afirmar el archivo adjunto con un simple clic en el botón”Aceptar”, que normalmente muchos ignoran.
Una vez que se hace clic, el script VBS descargará dos archivos de un servidor remoto e instalarlos. Según las capturas de pantalla compartidas por Bleeping Computer, el primer archivo está destinado a engañar a los usuarios al abrir un documento de OneNote que parece legítimo. Sin embargo, junto con esto hay una ejecución en segundo plano de un archivo por lotes malicioso, que instalará el malware en el dispositivo. Esto incluye los troyanos de acceso remoto (p. ej., troyanos de acceso remoto AsyncRAT, XWorm y Quasar) con capacidades de robo de información, desde tomar capturas de pantalla y adquirir contraseñas de navegador guardadas hasta grabar videos a través de las cámaras web de los usuarios y robar billeteras de criptomonedas.
Desafortunadamente, la máxima protección que los usuarios pueden aplicar para salvarse de dichos problemas es tener cuidado al abrir archivos de remitentes desconocidos y seguir la alerta de seguridad estándar del sistema y la aplicación. Mientras tanto, Trustwave tiene una sugerencia para las organizaciones.
“En resumen, es probable que un archivo WSF incrustado en un documento de OneNote pase desapercibido”, dice Trustwave. “También significa que OneNote ahora puede unirse a la lista de otros documentos de Office que deben inspeccionarse en busca de componentes maliciosos. Como se mencionó anteriormente, no es común ver archivos.one adjuntos a los correos electrónicos. Como medida de mitigación, las organizaciones deben considerar bloquear o marcar los archivos adjuntos de correo electrónico entrantes con una extensión.one”.