English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Exportações da Eastman: O foco consistente na qualidade, infraestrutura e sustentabilidade rende grandes dividendos
May 16, 2023Hackers agora usam anexos do Microsoft OneNote para espalhar malware
May 18, 2023População do Japão cai quase 800 mil com quedas em todas as províncias pela primeira vez
May 20, 2023Os cortes na poluição diminuíram as nuvens de 'rastreamento de navios', aumentando o aquecimento global
May 22, 2023O apagão de notícias do Facebook e Instagram no Canadá começa hoje
May 24, 2023Hackers agora usam anexos do Microsoft OneNote para espalhar malware
May 18, 2023Os agentes de ameaças agora usam anexos do OneNote em e-mails de phishing que infectam as vítimas com malware de acesso remoto que pode ser usado para instalar mais malware, roubar senhas ou até mesmo carteiras de criptomoedas.
Isso ocorre depois que os invasores distribuem malware em e-mails usando anexos maliciosos do Word e Excel que lançam macros para baixar e instalar malware há anos.
No entanto, em julho, a Microsoft finalmente desativou macros por padrão em documentos do Office, tornando esse método pouco confiável para distribuição de malware.
Logo depois, os agentes de ameaças começaram a utilizar novos formatos de arquivo, como imagens ISO e arquivos ZIP protegidos por senha. Esses formatos de arquivo logo se tornaram extremamente comuns, auxiliados por um bug do Windows que permitia que ISOs ignorassem os avisos de segurança e o popular utilitário de arquivamento 7-Zip não propagasse sinalizadores de marca da web para arquivos extraídos de arquivos ZIP.
No entanto, tanto o 7-Zip quanto o Windows corrigiram recentemente esses bugs, fazendo com que o Windows exibisse avisos de segurança assustadores quando um usuário tenta abrir arquivos em arquivos ISO e ZIP baixados.
Para não serem dissuadidos, os agentes de ameaças rapidamente passaram a usar um novo formato de arquivo em seus anexos de spam malicioso (malspam): anexos do Microsoft OneNote.
O Microsoft OneNote é um aplicativo de notebook digital para desktop que pode ser baixado gratuitamente e está incluído no Microsoft Office 2019 e no Microsoft 365.
Como o Microsoft OneNote é instalado por padrão em todas as instalações do Microsoft Office/365, mesmo que um usuário do Windows não use o aplicativo, ele ainda estará disponível para abrir o formato de arquivo.
Desde meados de dezembro, o Trustwave SpiderLabs alertou que os agentes de ameaças começaram a distribuir e-mails de spam maliciosos contendo anexos do OneNote.
A partir de amostras encontradas pelo BleepingComputer, esses e-mails mal-spam fingem ser notificações de remessa da DHL, faturas, formulários de remessa ACH, desenhos mecânicos e documentos de remessa.
Ao contrário do Word e do Excel, o OneNote não oferece suporte a macros, que é como os agentes de ameaças lançavam scripts anteriormente para instalar malware.
Em vez disso, o OneNote permite que os usuários insiram anexos em um Notebook que, quando clicado duas vezes, iniciará o anexo.
Os agentes de ameaças estão abusando desse recurso anexando anexos VBS maliciosos que iniciam automaticamente o script quando clicados duas vezes para baixar malware de um site remoto e instalá-lo.
No entanto, os anexos se parecem com o ícone de um arquivo no OneNote, então os agentes da ameaça sobrepõem uma grande barra “Clique duas vezes para visualizar o arquivo” sobre os anexos VBS inseridos para ocultá-los.
Ao mover a barra Clique para visualizar o documento para fora do caminho, você pode ver que o anexo malicioso inclui vários anexos. Esta linha de anexos faz com que se um usuário clicar duas vezes em qualquer lugar da barra, ele clicará duas vezes no anexo para iniciá-lo.
Felizmente, ao iniciar anexos do OneNote, o programa avisa que isso pode danificar seu computador e seus dados.
Mas, infelizmente, a história nos mostrou que esses tipos de solicitações são comumente ignorados e os usuários apenas clicam no botão OK.
Clicar no botão OK iniciará o script VBS para baixar e instalar malware. Como você pode ver em um dos arquivos VBS maliciosos do OneNote encontrados pelo BleepingComputer, o script baixará e executará dois arquivos de um servidor remoto.
O primeiro mostrado abaixo é um documento falso do OneNote que abre e se parece com o documento que você esperava. No entanto, o arquivo VBS também executará um arquivo em lote malicioso em segundo plano para instalar malware no dispositivo.
Em e-mails malspam vistos pelo BleepingComputer, os arquivos do OneNote instalam trojans de acesso remoto que incluem funcionalidade de roubo de informações.
O pesquisador de segurança cibernética James confirmou isso, dizendo ao BleepingComputer que os anexos do OneNote que ele analisou instalaram os trojans de acesso remoto AsyncRAT e XWorm.
Dica: se você ainda não está bloqueando arquivos .one em seu perímetro/gateway de e-mail... chegou a hora.
Um anexo do OneNote visto pelo BleepingComputer instala o que é detectado como o trojan Quasar Remote Access.