Обережно: хакери використовують OneNote для поширення зловмисного ПЗ

Зловмисники тепер використовують вкладення OneNote у фішингових електронних листах, які заражають жертв шкідливим програмним забезпеченням віддаленого доступу, яке можна використовувати для встановлення подальшого шкідливого програмного забезпечення, викрадення паролів або навіть криптовалютних гаманців.

Це сталося після того, як зловмисники роками поширювали зловмисне програмне забезпечення в електронних листах, використовуючи шкідливі вкладення Word і Excel, які запускали макроси для завантаження та встановлення шкідливого програмного забезпечення. Однак у липні Microsoft нарешті вимкнула макроси за замовчуванням у документах Office, що зробило цей метод ненадійним для розповсюдження шкідливих програм.

Невдовзі зловмисники почали використовувати нові формати файлів, наприклад образи ISO та захищені паролем ZIP-файли. Невдовзі ці формати файлів стали надзвичайно поширеними, чому сприяла помилка Windows, яка дозволяла ISO обходити попередження безпеки, а популярна утиліта архівування 7-Zip не поширювала позначки веб-сайту на файли, витягнуті з архівів ZIP.

Однак і 7-Zip, і Windows нещодавно виправили ці помилки, через які Windows відображала страшні попередження безпеки, коли користувач намагався відкрити файли в завантажених файлах ISO та ZIP. Щоб це не відлякати, зловмисники швидко перейшли на використання нового формату файлів у вкладеннях зловмисного спаму (malspam): вкладення Microsoft OneNote.

Microsoft OneNote — це настільний цифровий блокнот, який можна завантажити безкоштовно та входить до складу Microsoft Office 2019 і Microsoft 365. Оскільки Microsoft OneNote інстальовано за замовчуванням у всіх інсталяціях Microsoft Office/365, навіть якщо користувач Windows не використовує програму, вона все одно доступна для відкриття формату файлу.

Із середини грудня дослідники з кібербезпеки попередили, що зловмисники почали розповсюджувати шкідливі спамові листи з вкладеннями OneNote. Зі зразків, знайдених BleepingComputer, ці спам-повідомлення видають сповіщення про доставлення DHL, рахунки-фактури, форми грошових переказів ACH, креслення машин і транспортні документи.

На відміну від Word і Excel, OneNote не підтримує макроси, як раніше зловмисники запускали сценарії для встановлення шкідливого програмного забезпечення. Натомість OneNote дозволяє користувачам вставляти вкладення в блокнот, який запускає вкладення при подвійному клацанні.

Зловмисники зловживають цією функцією, додаючи шкідливі вкладення VBS, які автоматично запускають сценарій після подвійного клацання, щоб завантажити зловмисне програмне забезпечення з віддаленого сайту та встановити його. Однак вкладення виглядають як значок файлу в OneNote, тому зловмисники накладають велику панель «Двічі клацніть, щоб переглянути файл» над вставленими вкладеннями VBS, щоб приховати їх.