En una señal continua de que los actores de amenazas se están adaptando bien a un mundo posterior a las macros, ha surgido que el uso de documentos de Microsoft OneNote para entregar malware a través de ataques de phishing está en aumento.
Algunas de las familias de malware notables que se distribuyen mediante este método incluyen AsyncRAT, Ladrón de línea rojaAgente Tesla, DOBLE ESPALDArata cuásar, gusano X, Qakbot, CARGADORy FormularioLibro.
La empresa empresarial Proofpoint dijo que detectó más de 50 campañas que aprovechaban los archivos adjuntos de OneNote solo en el mes de enero de 2023.
En algunos casos, los señuelos de phishing de correo electrónico contienen un archivo de OneNote que, a su vez, incorpora un archivo HTA que invoca un script de PowerShell para recuperar un binario malicioso de un servidor remoto.
Otros escenarios implican la ejecución de un VBScript no autorizado que está incrustado en el documento de OneNote y oculto detrás de una imagen que parece un botón aparentemente inofensivo. El VBScript, por su parte, está diseñado para soltar un script de PowerShell para ejecutar DOUBLEBACK.
«Es importante tener en cuenta que un ataque solo tiene éxito si el destinatario interactúa con el archivo adjunto, específicamente al hacer clic en el archivo incrustado e ignorar el mensaje de advertencia que muestra OneNote», Proofpoint dicho.
Las cadenas de infección son posibles gracias a una función de OneNote que permite la ejecución de tipos de archivos seleccionados directamente desde la aplicación para tomar notas en lo que es un caso de ataque de «contrabando de carga útil».
«La mayoría de los tipos de archivos que pueden ser procesados por MSHTA, WSCRIPT y CSCRIPT pueden ejecutarse desde OneNote», Scott Nusbaum, investigador de TrustedSec. dicho. «Estos tipos de archivos incluyen CHM, HTA, JS, WSF y VBS».
Como acciones correctivas, la firma finlandesa de ciberseguridad WithSecure está recomendando los usuarios bloquean los archivos adjuntos de correo de OneNote (archivos .one y .onepkg) y controlan de cerca las operaciones del proceso OneNote.exe.
El cambio a OneNote se considera una respuesta a la decisión de Microsoft de no permitir macros de forma predeterminada en las aplicaciones de Microsoft Office descargadas de Internet el año pasado, lo que llevó a los actores de amenazas a experimentar con tipos de archivos poco comunes como ISO, VHD, SVG, CHM, RAR, HTML. y LNK.
El objetivo detrás de las macros de bloqueo es doble: no solo reducir la superficie de ataque, sino también aumentar el esfuerzo requerido para llevar a cabo un ataque, incluso cuando el correo electrónico sigue siendo el vector de entrega superior por software malicioso.
Pero estas no son las únicas opciones que se han convertido en una forma popular de ocultar código malicioso. Los archivos complementarios de Microsoft Excel (XLL) y las macros de Publisher también se han utilizado como vía de ataque para eludir las protecciones de Microsoft y propagar un troyano de acceso remoto llamado Ekipa RAT y otras puertas traseras.
El abuso de los archivos XLL no ha pasado desapercibido para el fabricante de Windows, que es planificación una actualización para «bloquear complementos XLL provenientes de Internet», citando un «número creciente de ataques de malware en los últimos meses». Se espera que la opción esté disponible en algún momento de marzo de 2023.
Cuando se le contactó para hacer comentarios, Microsoft le dijo a The Hacker News que no tenía nada más que compartir en este momento.
«Es evidente cómo los ciberdelincuentes aprovechan nuevos vectores de ataque o medios menos detectados para comprometer los dispositivos de los usuarios», Adrian Miron de Bitdefender. dicho. «Es probable que estas campañas proliferen en los próximos meses, con ciberdelincuentes probando ángulos mejores o mejorados para comprometer a las víctimas».