A OneNote rosszindulatú programok terjedése a mellékletekben

A Microsoft OneNote rosszindulatú program egy olyan típusú rosszindulatú szoftver, amelyet trójai OneNote (.one) fájlokkal terjesztenek. Ezeket a dokumentumokat úgy módosították, hogy virulens tartalmat tartalmazzanak, amely interakció esetén elindítja a letöltési és telepítési folyamatot. A rosszindulatú programok terjesztésének ez a formája egyre népszerűbb a Microsoft azon döntése miatt, hogy blokkolja a makrókat az internetről az MS Office dokumentumokon.

A rosszindulatú OneNote-fájlok általában spamkampányokon keresztül terjednek, akár mellékletként, akár letöltési hivatkozásokon keresztül. Az ilyen módon elterjedt rosszindulatú programok két ismert típusa a Qakbot banki trójai és a RedLine Stealer. Előbbi a pénzügyekkel kapcsolatos információkat célozza meg, és láncfertőzést okozhat, míg az utóbbi célja, hogy érzékeny adatokat vonjon ki a fertőzött eszközökről.

Az ezekben a kampányokban használt e-mailek általában személytelenek, és egyes üzenetek tárgyában csak a címzett vezetékneve szerepel. A rosszindulatú OneNote-fájlok egy HTML-alkalmazást (HTA-fájlt) tartalmaznak beléjük ágyazva, amely kattintásra letölti/telepíti a kártevőt. A OneNote dokumentumokba azonban bármilyen típusú fájl beágyazható.

A fertőzési láncok további felhasználói beavatkozást igényelnek, mielőtt elindulnának – például engedélyezni kell a makróparancsokat az Office-dokumentumokban, vagy a beágyazott tartalomra kell kattintani a OneNote-fájlokon. A kiberbűnözők gyakran alkalmaznak szociális tervezési taktikákat ennek elérése érdekében, például hamis gombokat, mint például a „Megnyitás” vagy a „Dupla kattintás a fájl megtekintéséhez”.

Mi az a OneNote, a legális Microsoft-szoftver, amellyel a hackerek megpróbálnak visszaélni?

A Microsoft OneNote egy jegyzetkészítő alkalmazás, amellyel a felhasználók jegyzeteket, rajzokat, hangfelvételeket és egyéb tartalmakat hozhatnak létre és tárolhatnak. A Microsoft Office alkalmazáscsomag része, és használható Windows, MacOS, iOS, Android és webböngészőkön. Támogatja a több felhasználó közötti együttműködést is.

Miért jelentenek mindenféle csatolmány potenciális biztonsági fenyegetést?

Bármilyen típusú melléklet potenciális biztonsági fenyegetést jelenthet, mert tartalmazhat rosszindulatú kódot vagy rosszindulatú programot, amely megnyitásakor megfertőzheti a számítógépes rendszert. A rosszindulatú programok felhasználhatók adatok ellopására, műveletek megzavarására, és akár a rendszer irányításának átvételére is. A mellékletek vírusokat is tartalmazhatnak, amelyek arra készültek, hogy egyik számítógépről a másikra terjedjenek és károkat okozzanak. Ezenkívül a mellékletek adathalász linkeket vagy más rosszindulatú tartalmat tartalmazhatnak, amelyek további biztonsági kockázatokhoz vezethetnek.