Proofpoint’ten siber güvenlik araştırmacıları, şüphelenmeyen kullanıcılara kötü amaçlı yazılım dağıtmak için Microsoft OneNote belgelerinin kullanımının hız kazandığını iddia etti.
OneNote, Microsoft’un Office üretkenlik paketinin bir parçası olarak gelen dijital not alma uygulamasıdır. Bu nedenle siber suçlular, kurbanlarının çoğunun uç noktalarında uygulamanın zaten yüklü olduğunu varsayabilir.
OneNote’un NoteBooks adlı dosyaları, kullanıcıların uzak konumlardan kötü amaçlı yazılım indirebilen ekler eklemesine olanak tanır. Kullanıcıların yapması gereken tek şey dosyayı çift tıklatmak ve bunu yapmak için kolayca kandırılabilirler. Son raporlar, bilgisayar korsanlarının “içeriği görüntülemek için çift tıklayın” mesajıyla bulanık Defterler dağıttığını ve kurbanları dosyanın içeriğinin korunduğuna inandırdıklarını gördü.
Düşük algılama oranları
Bu hafta başlarında şirket blogunda yayınlanan ayrıntılı bir raporda Proofpoint araştırmacıları, Aralık 2022’de AsyncRAT kötü amaçlı yazılımını dağıtmak için OneNote’u kullanan altı kampanya belirlediklerini söyledi.
Bir ay sonra, Ocak 2023’te 50’den fazla kampanya keşfettiler. Dolandırıcılar, AsyncRAT’ın yanı sıra Redline Stealer, AgentTesla ve DOUBLEBACK’i de teslim ediyorlardı. Daha yakın zamanlarda, TA577 olarak bilinen tehdit aktörü bunu Qbot’u teslim etmek için kullandı.
Proofpoint’in araştırmacıları, bilgisayar korsanlarının OneNote’a dönmesinin aslında kapsamlı araştırmaların sonucu olduğuna inanıyor. Farklı ek türlerini denedikten sonra, şu ana kadar OneNote’ta karar kıldılar, algılama oranları minimum düzeyde.
Proofpoint, “birden fazla” kötü amaçlı yazılım örneğinin VirusTotal’daki antivirüs satıcıları tarafından algılanmadığını söylüyor.
Bu saldırılara karşı korunmanın en iyi yolu, her zaman olduğu gibi aynıdır – çalışanlarınızı tanımadıkları, güvenmedikleri veya kimlikleri doğrulanamayan kişilerden gelen ekleri indirmemeleri ve e-posta bağlantılarına tıklamamaları konusunda eğitin. Ayrıca, Word, Excel veya OneNote gibi programlarda gönderilen uyarı mesajlarını göz ardı etmemeleri konusunda eğitilmelidirler. Bunun dışında, güçlü bir antivirüs çözümüne ve bir güvenlik duvarına sahip olmak memnuniyetle karşılanır.
Son olarak, mümkün olan her yerde çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmek, daha ciddi uzlaşma şansını büyük ölçüde azaltır.