แฮ็กเกอร์กำลังใช้รูปแบบไฟล์ใหม่ในรูปแบบของไฟล์แนบ Microsoft OneNote เพื่อแพร่กระจายมัลแวร์ไปยังเป้าหมาย การคลิกสองครั้งที่ไฟล์แนบที่เป็นสแปมที่เป็นอันตรายจะเปิดสคริปต์โดยอัตโนมัติ ส่งผลให้มีการดาวน์โหลดและติดตั้งมัลแวร์จากไซต์ระยะไกล (Trustwave ผ่าน Bleeping Computer)
OneNote ยังคงเป็นหนึ่งในส่วนที่เกี่ยวข้องของ Microsoft 365 ยักษ์ใหญ่ด้านซอฟต์แวร์นี้แนะนำและทดสอบคุณลักษณะใหม่ๆ ในแอปอย่างต่อเนื่อง ทำให้เป็นเส้นทางที่เหมาะสมสำหรับแฮ็กเกอร์ในการดำเนินการก่ออาชญากรรม และในการค้นพบครั้งใหม่ ผู้เชี่ยวชาญด้านความปลอดภัยกล่าวว่าผู้ไม่หวังดีกำลังอาศัยไฟล์แนบของ OneNote เพื่อติดตั้งซอฟต์แวร์ที่เป็นอันตรายลงในเครื่องของเหยื่อ
?
?? เมล Malspam ถูกส่งมาพร้อมกับเอกสาร onenote ที่แนบมาด้วย
?? สิ่งที่แนบมากับ Onenote ประกอบด้วยปุ่มที่เมื่อคลิกแล้วจะเรียกใช้ไฟล์ที่ส่งออกซึ่งอยู่ใน:”C:UsersuserAppDataLocalTempOneNote16.0Exported{UUID}NT�”[1/3] pic.twitter.com/s6S7m18Fqo
— Perception Point Attack Trends (@AttackTrends) 10 มกราคม 2023
คำเตือนจากผู้เชี่ยวชาญด้านความปลอดภัยเริ่มต้นตั้งแต่เดือนธันวาคมปีที่แล้ว Trustwave บริษัทด้านความปลอดภัยทางไซเบอร์เผยแพร่รายงานเมื่อเดือนที่แล้วซึ่งแบ่งปันการค้นพบกลยุทธ์ใหม่นี้
“…จากการวิจัยต่อเนื่องนี้ เราค้นพบผู้คุกคามโดยใช้เอกสาร OneNote เพื่อย้ายมัลแวร์ Formbook ซึ่งเป็นโทรจันที่ขโมยข้อมูล ขายในฟอรัมแฮ็กใต้ดินตั้งแต่กลางปี 2559 ในรูปแบบมัลแวร์ในฐานะบริการ” Trustwave แบ่งปันในบล็อก “ไฟล์ประเภทหนึ่งที่เราสะดุดตาในวันที่ 6 ธันวาคม 2022 คือไฟล์แนบ OneNote ที่กล่าวมาข้างต้น โดยมีนามสกุล.one แนบมากับอีเมลสแปมในระบบการวัดและส่งข้อมูลทางไกลของเรา”
รายงานแยกต่างหากจาก Bleeping Computer แชร์ ว่าเอกสารแนบปลอมแปลงเป็นเอกสารที่เชื่อถือได้สำหรับธุรกิจ รวมถึงใบแจ้งหนี้ แบบเขียนแบบเครื่องกล การแจ้งเตือนการจัดส่งของ DHL แบบฟอร์มการโอนเงิน ACH และเอกสารการจัดส่ง อย่างไรก็ตาม ไฟล์เหล่านี้ถูกกล่าวว่าเป็นไฟล์แนบ VBS ที่เป็นอันตรายซึ่งสามารถเปิดใช้สคริปต์โดยอัตโนมัติโดยที่ผู้ใช้เพียงแค่คลิกสองครั้งที่ไฟล์เหล่านั้น
เพื่อหลอกผู้ใช้ ผู้คุกคามจะใช้รูปภาพล่อผ่าน”ดับเบิลคลิกเพื่อ ดูไฟล์” หรือแถบ “ดูเอกสาร” ซ้อนทับไฟล์แนบ การย้ายหรือคลิกการซ้อนทับนี้จะแสดงไฟล์แนบหลายไฟล์ และการดับเบิลคลิกที่แถบใดก็ได้จะเป็นการคลิกสองครั้งที่ไฟล์แนบ ซึ่งทำให้เกิดการเรียกใช้สคริปต์
ในแง่บวก Microsoft มักจะมี วิธีเตือนผู้ใช้ถึงอันตรายนี้ ดังนั้น แอปจะแสดงคำเตือนว่า “การเปิดไฟล์แนบอาจเป็นอันตรายต่อคอมพิวเตอร์และข้อมูลของคุณ” นี่คือจุดที่ผู้ใช้อาจทำผิดพลาดครั้งใหญ่ที่สุดโดยการยืนยันไฟล์แนบด้วยการคลิกปุ่ม”ตกลง”ง่ายๆ ซึ่งหลายคนมักมองข้าม
เมื่อคลิกแล้ว สคริปต์ VBS จะดาวน์โหลดไฟล์สองไฟล์จาก เซิร์ฟเวอร์ระยะไกลและติดตั้ง ตามภาพหน้าจอที่แบ่งปันโดย Bleeping Computer ไฟล์แรกตั้งใจหลอกผู้ใช้ด้วยการเปิดเอกสาร OneNote ที่ดูถูกต้อง อย่างไรก็ตาม ควบคู่ไปกับการดำเนินการเบื้องหลังไฟล์แบทช์ที่เป็นอันตราย ซึ่งจะติดตั้งมัลแวร์บนอุปกรณ์ ซึ่งรวมถึงโทรจันการเข้าถึงระยะไกล (เช่น AsyncRAT, XWorm การเข้าถึงระยะไกล และโทรจัน Quasar Remote Access) ที่มีความสามารถในการขโมยข้อมูล ตั้งแต่การถ่ายภาพหน้าจอและรับรหัสผ่านเบราว์เซอร์ที่บันทึกไว้ ไปจนถึงการบันทึกวิดีโอผ่านเว็บแคมของผู้ใช้ และการขโมยกระเป๋าเงินดิจิทัล
ขออภัย การป้องกันขั้นสูงสุดที่ผู้ใช้สามารถใช้เพื่อป้องกันตนเองจากปัญหาดังกล่าวคือการระมัดระวังในการเปิดไฟล์จากผู้ส่งที่ไม่รู้จัก และปฏิบัติตามการแจ้งเตือนความปลอดภัยมาตรฐานของระบบและแอป ในขณะเดียวกัน Trustwave มีคำแนะนำสำหรับองค์กรต่างๆ
“โดยสรุปแล้ว ไฟล์ WSF ที่ฝังอยู่ในเอกสาร OneNote มีแนวโน้มที่จะบินอยู่ใต้เรดาร์” Trustwave กล่าว “นอกจากนี้ยังหมายความว่า OneNote สามารถเข้าร่วมรายการเอกสาร Office อื่นๆ ที่จำเป็นต้องตรวจสอบส่วนประกอบที่เป็นอันตรายได้แล้ว ดังที่ได้กล่าวไว้ก่อนหน้านี้ ไม่ใช่เรื่องปกติที่จะเห็นไฟล์.one ที่แนบมากับอีเมล ในขั้นตอนการบรรเทา องค์กรควรพิจารณาบล็อกหรือตั้งค่าสถานะไฟล์แนบอีเมลขาเข้าด้วยนามสกุล.one”
