Rozprzestrzenianie złośliwego oprogramowania programu OneNote w załącznikach

Złośliwe oprogramowanie programu Microsoft OneNote jest rodzajem złośliwego oprogramowania, które jest dystrybuowane przy użyciu plików programu OneNote (.one) poddanych trojanizacji. Dokumenty te zostały zmodyfikowane tak, aby zawierały zjadliwą zawartość, która po interakcji uruchamia proces pobierania i instalacji. Ta forma dystrybucji złośliwego oprogramowania stała się bardziej popularna w związku z decyzją Microsoftu o blokowaniu makr z Internetu w dokumentach MS Office.

Złośliwe pliki programu OneNote są zwykle rozpowszechniane za pośrednictwem kampanii spamowych, jako załączniki lub łącza pobierania. Dwa znane typy złośliwego oprogramowania, które zostały rozsyłane w ten sposób, to trojan bankowy Qakbot i RedLine Stealer. Pierwszy atakuje informacje związane z finansami i może powodować infekcje łańcuchowe, podczas gdy drugi ma na celu wydobywanie poufnych danych z zainfekowanych urządzeń.

E-maile używane w tych kampaniach są zwykle bezosobowe, a w temacie niektórych wiadomości wpisane jest tylko nazwisko odbiorcy. Złośliwe pliki OneNote zawierają osadzoną w nich aplikację HTML (plik HTA), która po kliknięciu pobiera/instaluje złośliwe oprogramowanie. Jednak w dokumentach programu OneNote można osadzać pliki dowolnego typu.

Łańcuchy infekcji wymagają dodatkowej interakcji użytkownika, zanim będą mogły się rozpocząć — na przykład włączenia makropoleceń w dokumentach pakietu Office lub kliknięcia zawartości osadzonej w plikach programu OneNote. Aby to osiągnąć, cyberprzestępcy często uciekają się do taktyk inżynierii społecznej, takich jak fałszywe przyciski, takie jak „Otwórz" lub „Kliknij dwukrotnie, aby wyświetlić plik".

Czym jest OneNote, legalne oprogramowanie firmy Microsoft, którego hakerzy próbują nadużywać?

Microsoft OneNote to aplikacja do robienia notatek, która umożliwia użytkownikom tworzenie i przechowywanie notatek, rysunków, nagrań dźwiękowych i innych treści. Jest częścią pakietu aplikacji Microsoft Office i może być używany w systemach Windows, MacOS, iOS, Android i przeglądarkach internetowych. Obsługuje również współpracę między wieloma użytkownikami.

Dlaczego wszelkiego rodzaju załączniki stanowią potencjalne zagrożenie dla bezpieczeństwa?

Załączniki wszelkiego rodzaju mogą stanowić potencjalne zagrożenie bezpieczeństwa, ponieważ mogą zawierać złośliwy kod lub złośliwe oprogramowanie, które po otwarciu może zainfekować system komputerowy. Złośliwe oprogramowanie może służyć do kradzieży danych, zakłócania operacji, a nawet przejmowania kontroli nad systemem. Załączniki mogą również zawierać wirusy, które są programami przeznaczonymi do rozprzestrzeniania się z jednego komputera na drugi i powodowania szkód. Ponadto załączniki mogą zawierać łącza służące do wyłudzania informacji lub inną złośliwą zawartość, która może prowadzić do dalszych zagrożeń bezpieczeństwa.