Tehdit aktörleri artık kurbanları daha fazla kötü amaçlı yazılım yüklemek, şifreleri çalmak ve hatta kripto para cüzdanları kurmak için kullanılabilecek uzaktan erişim kötü amaçlı yazılımlarla enfekte eden kimlik avı e -postalarında OneNote eklerini kullanıyor.
Bu, saldırganlar, kötü amaçlı yazılımları indirmek ve yüklemek için makroları başlatan kötü niyetli kelime ve Excel eklerini kullanarak e -postalara kötü amaçlı yazılım dağıttıktan sonra gelir.
Ancak, Temmuz ayında Microsoft nihayet makroları varsayılan olarak ofis belgelerinde devre dışı bıraktı ve bu yöntemi kötü amaçlı yazılım dağıtmak için güvenilmez hale getirdi.
Kısa bir süre sonra, tehdit aktörleri ISO görüntüleri ve şifre korumalı zip dosyaları gibi yeni dosya formatları kullanmaya başladı. Bu dosya formatları kısa sürede son derece yaygın hale geldi, ISO'ların güvenlik uyarılarını ve Web'in işaretli bayraklarını zip arşivlerinden çıkarılan dosyalara yaymaması için popüler 7-ZIP Arşivi Yardımcı Programı'na izin veren bir Windows hatası tarafından desteklendi.
Ancak, hem 7-ZIP hem de Windows yakın zamanda bu hataları düzeltti ve bir kullanıcı indirilen ISO ve ZIP dosyalarında dosyaları açmaya çalıştığında Windows'un korkutucu güvenlik uyarıları göstermesine neden oldu.
Caydırılmaması için, tehdit aktörleri, kötü amaçlı spam (Malspam) eklerinde yeni bir dosya formatı kullanmaya hızla geçti: Microsoft OneNote ekleri.
Microsoft Onenote, ücretsiz olarak indirilebilen ve Microsoft Office 2019 ve Microsoft 365'e dahil edilen bir masaüstü dijital dizüstü bilgisayar uygulamasıdır.
Microsoft OneNote varsayılan olarak tüm Microsoft Office/365 kurulumlarında yüklendiğinden, bir Windows kullanıcısı uygulamayı kullanmasa bile, dosya biçimini açmak için hala kullanılabilir.
Aralık ayının ortalarından bu yana, siber güvenlik araştırmacıları, tehdit aktörlerinin OneNote ekleri içeren kötü niyetli spam e-postaları dağıtmaya başladıkları konusunda uyardı.
BleepingComputer tarafından bulunan numunelerden, bu Malspam e -postaları DHL nakliye bildirimleri, faturalar, ACH havale formları, mekanik çizimler ve nakliye belgeleri gibi davranır.
Word ve Excel'in aksine, OneNote makroları desteklemiyor, bu da tehdit aktörleri daha önce kötü amaçlı yazılım yüklemek için komut dosyalarını başlattı.
Bunun yerine OneNote, kullanıcıların ekleri çift tıkladığında eki başlatacak bir dizüstü bilgisayara eklemelerine izin verir.
Tehdit aktörleri, uzak bir siteden kötü amaçlı yazılım indirmek ve yüklemek için çift tıklandığında komut dosyasını otomatik olarak başlatan kötü amaçlı VBS ekleri ekleyerek bu özelliği kötüye kullanıyor.
Ancak, ekler OneNote'daki bir dosyanın simgesine benziyor, bu nedenle tehdit aktörleri, bunları gizlemek için eklenen VBS ekleri üzerinden büyük bir 'Dosya görüntülemek için çift tıklama' çubuğu kaplıyor.
Belge çubuğunu yoldan görüntülemek için tıklamayı hareket ettirdiğinizde, kötü amaçlı ekin birden fazla ek içerdiğini görebilirsiniz. Bu ek sırası, bir kullanıcı çubuğun herhangi bir yerine çift tıklaması durumunda, başlatmak için eki çift tıklayacak şekilde yapar.
Neyse ki, OneNote eklerini başlatırken, program bunu yapmanın bilgisayarınıza ve verilerinize zarar verebileceği konusunda uyarır.
Ancak ne yazık ki, tarih bize bu tür istemlerin yaygın olarak göz ardı edildiğini ve kullanıcıların sadece Tamam düğmesini tıkladığını gösterdi.
Tamam düğmesine tıklamak, kötü amaçlı yazılımları indirmek ve yüklemek için VBS komut dosyasını başlatır. BleepingComputer tarafından bulunan kötü niyetli OneNote VBS dosyalarından birinden görebileceğiniz gibi, komut dosyası uzak bir sunucudan iki dosya indirecek ve yürütecektir.
Aşağıda gösterilen ilk, beklediğiniz belgeye benzeyen ve görünen bir tuzak onenote belgesidir. Ancak, VBS dosyası, cihaza kötü amaçlı yazılım yüklemek için arka planda kötü amaçlı bir toplu iş dosyası yürütür.
BleepingComputer tarafından görülen Malspam e-postalarında, OneNote dosyaları bilgi çalma işlevlerini içeren uzaktan erişim truva atlarını yükler.
Siber güvenlik araştırmacısı James bunu doğruladı ve BleepingComputer'a analiz ettiği OneNote eklerinin Asyncrat ve Xworm uzaktan erişim truva atlarını kurduğunu söyledi.
Protip: Çevre/e -posta ağ geçidinizde zaten. Bir dosyayı engellemiyorsanız ... zamanı geldi.
BleepingComputer tarafından görülen bir OneNote eki, Quasar uzaktan erişim Truva atı olarak tespit edilenleri yükler.
Kurulduktan sonra, bu tür bir kötü amaçlı yazılım, tehdit aktörlerinin dosyaları çalmak, tarayıcı şifrelerini kaydetmek, ekran görüntülerini almak ve bazı durumlarda web kameralarını kullanarak video kaydetmek için bir kurbanın cihazına uzaktan erişmesine izin verir.
Tehdit aktörleri ayrıca, kurbanların cihazlarından kripto para cüzdanlarını çalmak için genellikle uzaktan erişim truva atlarını kullanır ve bu da bunu pahalı bir enfeksiyon haline getirir.
Kendinizi kötü niyetli eklerden korumanın en iyi yolu, tanımadığınız kişilerden dosyaları açmamaktır. Ancak, yanlışlıkla bir dosya açarsanız, işletim sistemi veya uygulama tarafından görüntülenen uyarıları göz ardı etmeyin.
Bir ek veya bağlantı açmanın bilgisayarınıza veya dosyalarınıza zarar verebileceği konusunda bir uyarı görürseniz, Tamam'a basmayın ve uygulamayı kapatın.
Meşru bir e -posta olabileceğini düşünüyorsanız, dosyanın güvenli olup olmadığını doğrulamanıza yardımcı olmak için bir güvenlik veya Windows Yöneticisi ile paylaşın.
Kaynak: Bleeping Computer