Dokumenty Microsoft OneNote są wykorzystywane do rozpowszechniania złośliwego oprogramowania

Badacze odkryli nową cyberkampanię wykorzystującą dokumenty Microsoft OneNote do infekowania urządzeń złośliwym oprogramowaniem QBot.

Raport Sophos twierdzi, że kampania, nazwana „QakNote”, jest obecnie aktywna, a nieznani cyber przestępcy wysyłają e-maile phishingowe z załącznikami NoteBook, które zawierają dodatkowe załączniki. Te załączniki mogą być w prawie każdym formacie, ale w tym przypadku są to pliki HTA — osadzone jako aplikacje HTML.

Po aktywacji aplikacja pobiera ładunek złośliwego oprogramowania QBot, który napastnicy mogą wykorzystać do uzyskania wstępnego dostępu do docelowych punktów końcowych. Później mogą wykorzystać ten dostęp do wdrożenia drugiego etapu złośliwego oprogramowania — infostelaerów, ransomware, cryptominerów lub czegoś zupełnie innego.

Aby aktywować załącznik, ofiary muszą dwukrotnie kliknąć określony fragment pliku NoteBook. Autorzy szkodliwych programów zazwyczaj tworzą fałszywy zamazany raport z dużym przyciskiem „Kliknij tutaj, aby zobaczyć”, oszukując ludzi, że zawartość pliku jest „chroniona” ze względów prywatności.

Microsoft OneNote pojawił się jako jeden z bardziej popularnych wektorów zagrożeń, po upadku makr Office. W 2022 roku Microsoft uniemożliwił uruchamianie makr w plikach pakietu Office pobranych z Internetu, skutecznie kładąc kres jednemu z najpopularniejszych istniejących wektorów ataku. Od tego czasu aktorzy zagrożeń szukają alternatyw i jak dotąd — dwie metody cieszą się coraz większą popularnością.

Pliki OneNote ze złośliwymi załącznikami to jedna z metod, a drugą są pliki skrótów (.LNK) wykorzystywane do side-loadowania złośliwych plików .DLL.

W drugiej metodzie napastnicy wysyłali folder archiwum zawierający złośliwy plik .DLL, legalną aplikację, taką jak Kalkulator Windows, oraz plik skrótu, którego ikona została zmieniona na coś innego (na przykład na plik .PDF). Jeśli ofiara kliknie plik skrótu, uruchomi aplikację, co spowoduje uruchomienie złośliwego pliku .DLL.

Niezależnie od tego, jaką metodę wybiorą napastnicy, wszystkie mają jedną wspólną cechę — konieczne jest działanie ze strony ofiary, ponieważ to ona musi faktycznie uruchomić złośliwy kod. W związku z tym, najlepszym sposobem na zachowanie bezpieczeństwa jest zachowanie zdrowego rozsądku i ostrożność podczas uruchamiania plików pobranych za pośrednictwem poczty elektronicznej.