Estás leyendo la publicación: Los atacantes abusan de los archivos adjuntos de OneNote para difundir malware RAT
A lo largo de los años, los actores de amenazas han estado implementando malware en correos electrónicos a través de archivos adjuntos maliciosos de Microsoft Word y Excel, que luego ejecutan macros para descargar e instalar el malware.
Ahora los atacantes han apuntado a otra aplicación de Microsoft, Mircosoft OneNote, de la misma manera, es decir, adjuntando archivos maliciosos de OneNote en correos electrónicos de phishing para instalar malware de acceso remoto en la computadora de la víctima para robar información sobre billeteras criptográficas, contraseñas o incluso instalar otro malware.
Como ya sabemos, OneNote es una aplicación para tomar notas de Microsoft y está incluida en Microsoft Office y 365. Dicho esto, en julio del año pasado, Microsoft, por por defecto deshabilitó las macros nuevamente en Office Exel & Word, lo que finalmente inutilizó esta técnica.
Aunque eso no detuvo a los atacantes, ya que comenzaron a aprovechar los nuevos formatos de archivo, como imágenes ISO y archivos Zip, que están protegidos con contraseña. y además, Windows Bug también ayudó, al omitir las advertencias de seguridad y la utilidad de archivo zip que no comunica la marca de la web a los archivos extraídos.
Bueno, estos errores también fueron solucionados por microsoft & 7 cremallera lo que provocó mensajes de seguridad aterradores cuando el usuario intentó abrir un archivo de descarga en archivos ISO y Zip.
Marca de Ver archivos en ISO (Créditos – BleepingComputer)Esto tampoco detuvo a los atacantes, ya que luego cambiaron a utilizar un nuevo formato de archivo utilizando archivos adjuntos de spam maliciosos en OneNote de Microsoft.
Varios investigadores de empresas de ciberseguridad Ya hemos advertido que los atacantes han estado distribuyendo correos electrónicos no deseados que contienen mensajes maliciosos. Archivos adjuntos de OneNote desde mediados de diciembre.
🧵
➡️ El correo malspam se entrega con un documento de onenote adjunto
➡️ El archivo adjunto de Onenote contiene un botón que, una vez hecho clic, ejecuta el archivo exportado ubicado en: “C:UsersuserAppDataLocalTempOneNote16.0Exported{UUID}NT ” [1/3] pic.twitter.com/s6S7m18Fqo
– Tendencias de ataque al punto de percepción (@AttackTrends) 10 de enero de 2023
Según las muestras encontradas por la computadora Bleeping, estos correos electrónicos no deseados se hacían pasar por envíos, facturas, documentos de envío, dibujos mecánicos y formularios de envío ACH de DHL.
Correo electrónico falso de DHL con un archivo adjunto malicioso de OneNote (Créditos – Bleeping Computer)Microsoft OneNote no admite macros como Word o Excel, pero permite a los usuarios insertar archivos adjuntos en el cuaderno y, cuando se hace doble clic, se abre el archivo adjunto.
Los atacantes de amenazas aprovechan esta característica mediante el uso de un archivo adjunto VBS que abrirá automáticamente el script cuando los usuarios hagan doble clic en él para descargar el malware malicioso desde un sitio remoto y luego instalarlo.
El archivo adjunto de OneNote simplemente parece un ícono de archivo, por lo que los adjuntos colocan una gran superposición que dice: haga doble clic para ver los archivos sobre los archivos VBS adjuntos para ocultarlos.
Archivo adjunto malicioso de OneNote (Créditos: computadora que suena)Después de eso, cuando el usuario intenta alejarse de la barra Hacer clic para ver documento, el archivo adjunto malicioso tiene dos archivos adjuntos y, como hay una línea de archivos adjuntos, si el usuario hace doble clic en cualquier lugar del botón, hará doble clic en los archivos adjuntos para descargarlo.
Archivos ocultos maliciosos de VBS (Créditos – Computadora que suena)¡Al igual que cualquier otra advertencia de archivo que se descarga de Internet! OneNote también advierte al usuario antes de iniciarlo, pero como sabemos, los usuarios tienden a ignorarlo y en su lugar hacen clic en Aceptar.
Advertencia de seguridad de Microsoft OneNote (Créditos – Computadora que suena)Tan pronto como el usuario hace clic en el botón Aceptar, activa el script VBS para descargar y luego instalar malware malicioso, y luego el archivo VBS malicioso descarga y ejecuta dos archivos desde el servidor remoto.
Un ejemplo de un documento de OneNote tan atractivo es que parece ser un documento normal, pero en segundo plano, el archivo VBS instala el malware malicioso.
Un investigador de ciberseguridad menciona que los archivos adjuntos de OneNote están instalando malware de acceso remoto Async y Xworm. Otro malware distribuido por los actores de amenazas es el Acceso remoto a quásar.
Este tipo de troyano, una vez instalado, permite a los atacantes acceder de forma remota al dispositivo comprometido para robar archivos, contraseñas del navegador, etc., por lo que es mejor no instalar ningún archivo desconocido, ya que podría causar problemas importantes.
Leer: Ciberdelincuentes que venden malware Android ‘gancho’ para el control remoto de teléfonos inteligentes
