Вредоносное ПО OneNote распространяется во вложениях

Вредоносное ПО Microsoft OneNote — это тип вредоносного программного обеспечения, которое распространяется с использованием троянских файлов OneNote (.one). Эти документы были изменены, чтобы содержать опасный контент, который запускает процесс загрузки и установки при взаимодействии с ним. Эта форма распространения вредоносных программ стала более популярной в связи с решением Microsoft заблокировать макросы из Интернета в документах MS Office.

Вредоносные файлы OneNote обычно распространяются через спам-кампании либо в виде вложений, либо по ссылкам для скачивания. Два известных типа вредоносного ПО, которые распространяются таким образом, — это банковский троян Qakbot и RedLine Stealer. Первый нацелен на информацию, связанную с финансами, и может вызывать цепные заражения, а второй предназначен для извлечения конфиденциальных данных с зараженных устройств.

Электронные письма, используемые в этих кампаниях, как правило, обезличены: в строке темы некоторых сообщений указывается только фамилия получателя. Вредоносные файлы OneNote содержат встроенное в них HTML-приложение (файл HTA), которое загружает/устанавливает вредоносное ПО при нажатии. Однако в документы OneNote можно внедрить любой тип файла.

Цепочки заражения требуют дополнительного взаимодействия с пользователем, прежде чем они могут начаться — например, включение макрокоманд в документах Office или нажатие встроенного содержимого в файлах OneNote. Для этого киберпреступники часто прибегают к тактике социальной инженерии, например, к фальшивым кнопкам, таким как «Открыть» или «Двойной щелчок для просмотра файла».

Что такое OneNote, законное программное обеспечение Microsoft, которым хакеры пытаются злоупотребить?

Microsoft OneNote — это приложение для создания заметок, которое позволяет пользователям создавать и хранить заметки, рисунки, аудиозаписи и другой контент. Он является частью набора приложений Microsoft Office и может использоваться в Windows, MacOS, iOS, Android и веб-браузерах. Он также поддерживает совместную работу между несколькими пользователями.

Почему вложения любого рода представляют собой потенциальную угрозу безопасности?

Вложения любого типа могут представлять собой потенциальную угрозу безопасности, поскольку они могут содержать вредоносный код или вредоносные программы, которые могут заразить компьютерную систему при открытии. Вредоносное ПО может использоваться для кражи данных, прерывания операций и даже для получения контроля над системой. Вложения также могут содержать вирусы — программы, предназначенные для распространения с одного компьютера на другой и нанесения ущерба. Кроме того, вложения могут содержать фишинговые ссылки или другой вредоносный контент, который может привести к дополнительным угрозам безопасности.