Araştırmacılar, cihazlara QBot kötü amaçlı yazılımı bulaştırmak için Microsoft OneNote dosyalarını kullanan yeni bir siber kampanya ortaya çıkardı. (yeni sekmede açılır).
Sophos’tan gelen bir rapor, “QakNote” adlı kampanyanın şu anda aktif olduğunu ve bilinmeyen tehdit aktörlerinin kendi ekleriyle birlikte gelen NoteBook ekleriyle kimlik avı e-postaları gönderdiğini iddia ediyor.
Bu ekler hemen hemen her biçimde olabilir ve bu durumda bunlar bir HTA dosyasıdır – katıştırılmış bir HTML uygulamasıdır.
Çok aşamalı saldırılar
Etkinleştirilirse uygulama, saldırganların hedef uç noktalara ilk erişim elde etmek için kullanabileceği QBot kötü amaçlı yazılım yükünü alır. Daha sonra bu erişimi, ister infostelaers, fidye yazılımı, kripto madencileri veya tamamen başka bir şey olsun, ikinci aşama kötü amaçlı yazılımları dağıtmak için kullanabilirler.
Eki etkinleştirmek için kurbanların NoteBook dosyasının belirli bir bölümünü çift tıklaması gerekir.
Tehdit aktörleri genellikle büyük bir “Görüntülemek için Burayı Tıklayın” düğmesiyle sahte, bulanıklaştırılmış bir rapor oluşturarak, insanları dosyanın içeriğinin gizlilik nedenleriyle “korunduğunu” düşünmeleri için kandırırdı.
Microsoft OneNote, Office makrolarının sona ermesinin ardından en popüler tehdit vektörlerinden biri olarak ortaya çıktı. 2022’de Microsoft, internetten indirilen Office dosyalarında makro çalıştırmayı imkansız hale getirerek var olan en popüler saldırı vektörlerinden birini etkili bir şekilde durdurdu. O zamandan beri, tehdit aktörleri alternatifler arıyor ve şu ana kadar iki yöntem giderek daha popüler hale geliyor.
Kötü amaçlı eklere sahip OneNote dosyaları, yöntemlerden biridir ve ikincisi, kötü amaçlı .DLL’leri yandan yüklemek için kullanılan kısayol dosyalarıdır (.LNK).
İkinci yöntemde saldırganlar, kötü amaçlı bir .DLL dosyası, Windows Hesap Makinesi gibi meşru bir uygulama ve simgesi başka bir şeyle değiştirilmiş bir kısayol dosyası (örneğin, bir .PDF dosyası) içeren bir arşiv klasörü gönderir. Kurban kısayol dosyasına tıklarsa uygulamayı çalıştırır ve bu da kötü amaçlı .DLL dosyasını tetikler.
Saldırganlar hangi yöntemi seçerlerse seçsinler, hepsinin ortak bir noktası var – kötü niyetli kodu fiilen çalıştıracak olanlar olmaları gerektiğinden kurbandan harekete geçilmesi gerekiyor. Bununla birlikte, güvende kalmanın en iyi yolu sağduyulu olmak ve e-posta yoluyla indirilen dosyaları çalıştırırken dikkatli olmaktır.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)
