En una se\u00f1al continua de que los actores de amenazas se est\u00e1n adaptando bien a un mundo posterior a las macros, ha surgido que el uso de documentos de Microsoft OneNote para entregar malware a trav\u00e9s de ataques de phishing est\u00e1 en aumento.<\/p>\n
Algunas de las familias de malware notables que se distribuyen mediante este m\u00e9todo incluyen AsyncRAT, Ladr\u00f3n de l\u00ednea roja<\/a>Agente Tesla, DOBLE ESPALDA<\/a>rata cu\u00e1sar, gusano X, Qakbot<\/a>, CARGADOR<\/a>y FormularioLibro<\/a>.<\/p>\n La empresa empresarial Proofpoint dijo que detect\u00f3 m\u00e1s de 50 campa\u00f1as que aprovechaban los archivos adjuntos de OneNote solo en el mes de enero de 2023.<\/p>\n En algunos casos, los se\u00f1uelos de phishing de correo electr\u00f3nico contienen un archivo de OneNote que, a su vez, incorpora un archivo HTA que invoca un script de PowerShell para recuperar un binario malicioso de un servidor remoto.<\/p>\n Otros escenarios implican la ejecuci\u00f3n de un VBScript no autorizado que est\u00e1 incrustado en el documento de OneNote y oculto detr\u00e1s de una imagen que parece un bot\u00f3n aparentemente inofensivo. El VBScript, por su parte, est\u00e1 dise\u00f1ado para soltar un script de PowerShell para ejecutar DOUBLEBACK.<\/p>\n “Es importante tener en cuenta que un ataque solo tiene \u00e9xito si el destinatario interact\u00faa con el archivo adjunto, espec\u00edficamente al hacer clic en el archivo incrustado e ignorar el mensaje de advertencia que muestra OneNote”, Proofpoint dicho<\/a>.<\/p>\n Las cadenas de infecci\u00f3n son posibles gracias a una funci\u00f3n de OneNote que permite la ejecuci\u00f3n de tipos de archivos seleccionados directamente desde la aplicaci\u00f3n para tomar notas en lo que es un caso de ataque de “contrabando de carga \u00fatil”.<\/p>\n “La mayor\u00eda de los tipos de archivos que pueden ser procesados \u200b\u200bpor MSHTA, WSCRIPT y CSCRIPT pueden ejecutarse desde OneNote”, Scott Nusbaum, investigador de TrustedSec. dicho<\/a>. “Estos tipos de archivos incluyen CHM, HTA, JS, WSF y VBS”.<\/p>\n Como acciones correctivas, la firma finlandesa de ciberseguridad WithSecure est\u00e1 recomendando<\/a> los usuarios bloquean los archivos adjuntos de correo de OneNote (archivos .one y .onepkg) y controlan de cerca las operaciones del proceso OneNote.exe.<\/p>\n El cambio a OneNote se considera una respuesta a la decisi\u00f3n de Microsoft de no permitir macros de forma predeterminada en las aplicaciones de Microsoft Office descargadas de Internet el a\u00f1o pasado, lo que llev\u00f3 a los actores de amenazas a experimentar con tipos de archivos poco comunes como ISO, VHD, SVG, CHM, RAR, HTML. y LNK.<\/p>\n El objetivo detr\u00e1s de las macros de bloqueo es doble: no solo reducir la superficie de ataque, sino tambi\u00e9n aumentar el esfuerzo requerido para llevar a cabo un ataque, incluso cuando el correo electr\u00f3nico sigue siendo el vector de entrega superior<\/a> por software malicioso.<\/p>\n Pero estas no son las \u00fanicas opciones que se han convertido en una forma popular de ocultar c\u00f3digo malicioso. Los archivos complementarios de Microsoft Excel (XLL) y las macros de Publisher tambi\u00e9n se han utilizado como v\u00eda de ataque para eludir las protecciones de Microsoft y propagar un troyano de acceso remoto llamado Ekipa RAT y otras puertas traseras.<\/p>\n El abuso de los archivos XLL no ha pasado desapercibido para el fabricante de Windows, que es planificaci\u00f3n<\/a> una actualizaci\u00f3n para “bloquear complementos XLL provenientes de Internet”, citando un “n\u00famero creciente de ataques de malware en los \u00faltimos meses”. Se espera que la opci\u00f3n est\u00e9 disponible en alg\u00fan momento de marzo de 2023.<\/p>\n Cuando se le contact\u00f3 para hacer comentarios, Microsoft le dijo a The Hacker News que no ten\u00eda nada m\u00e1s que compartir en este momento.<\/p>\n “Es evidente c\u00f3mo los ciberdelincuentes aprovechan nuevos vectores de ataque o medios menos detectados para comprometer los dispositivos de los usuarios”, Adrian Miron de Bitdefender. dicho<\/a>. “Es probable que estas campa\u00f1as proliferen en los pr\u00f3ximos meses, con ciberdelincuentes probando \u00e1ngulos mejores o mejorados para comprometer a las v\u00edctimas”.<\/p>\n <\/p>\n![\"microsoft](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/02\/1675449391_770_El-mundo-posterior-a-las-macros-ve-un-aumento-en.png\" "\\"microsoft")
<\/div>\n