0
0
A Microsoft anunciou que, a partir de abril de 2023, adicionará proteção aprimorada quando os usuários abrirem ou baixarem um arquivo incorporado em um documento do OneNote – um conhecido tipo de arquivo de phishing de alto risco.
“Os usuários receberão uma notificação quando os arquivos parecerem perigosos para melhorar a experiência de proteção de arquivos no OneNote no Windows”, disse a empresa .
Uma técnica popular para entrega de malware
Quando, em julho passado, a Microsoft começou a bloquear a execução padrão de macros VBA em arquivos do Office obtidos da Internet, os invasores começaram a usar formatos de arquivo contêiner (ISO, RAR, ZIP) e arquivos IMG para fornecer LNKs, DLLs ou executáveis para instalar cargas maliciosas no computador do alvo.
O motivo da mudança foi que eles não exibiam – na época – avisos de segurança quando as vítimas tentavam abri-los. E até mesmo algumas técnicas menos populares de distribuição de malware, como o contrabando de HTML , começaram a ganhar terreno.
Mas, no início de 2023, ficou óbvio que os invasores também começaram a confiar em documentos trojanizados do OneNote para fornecer uma variedade de malware.
O que é o Microsoft OneNote e por que os invasores adoram os documentos do OneNote?
O OneNote é um software de anotações incluído no pacote do Microsoft Office. Ele é projetado para coletar informações em diferentes formatos: texto, imagens, comentários de áudio, videoclipes.
Essas anotações podem ser usadas por diferentes usuários para aprimorar a colaboração, portanto, os documentos do OneNote (com a extensão .one ) geralmente são enviados de um usuário para outro pela Internet ou por uma rede.
“Pelo que vimos, qualquer arquivo pode ser facilmente incorporado ao OneNote. Juntamente com técnicas complicadas de engenharia social, os agentes de ameaças podem assumir o controle do sistema de um alvo e roubar dados confidenciais”, observou recentemente o pesquisador da Trustwave SpiderLabs, Bernard Bautista .
“Além disso, os documentos do OneNote não incluem proteção de ‘Visualização Protegida’ e Mark-of-the-Web (MOTW), aumentando o risco de exposição a arquivos potencialmente maliciosos e tornando-os atraentes para cibercriminosos.”
Os pesquisadores do Trustwave SpiderLabs documentaram várias campanhas de phishing e spear-phishing usando documentos trojanizados do OneNote para fornecer famílias de malware como Qakbot, XWorm, Icedid, Formbook e AsyncRAT.
Os documentos geralmente se apresentam como consultas, extratos e faturas, mas, uma vez abertos, solicitam que o usuário clique duas vezes em um botão para visualizar o documento. Infelizmente, abaixo do botão estão incorporados scripts em lote ou executáveis que baixam e executam silenciosamente a carga maliciosa em segundo plano.
Com a proteção aprimorada do OneNote anunciada pela Microsoft, a eficiência dessas campanhas pode ser consideravelmente prejudicada e os invasores serão mais uma vez forçados a encontrar novas maneiras de distribuir malware.
FONTE: HELPNET SECURITY