تحویل بدافزار از طریق فایل‌های Microsoft OneNote در دنیای پسا ماکرو در حال رشد است

محققان Proofpoint فکر می کنند که محبوبیت OneNote در بین هکرها نتیجه یک تحقیق عمیق است. OneNote که بخشی از مجموعه مایکروسافت آفیس است اما اکنون به صورت رایگان به عنوان یک برنامه مستقل نیز ارائه می شود، پس از آزمایش و خطا با چندین نوع پیوست انتخاب شد زیرا نرخ تشخیص تا کنون پایین بوده است.



منبع

فایل‌های OneNote به کاربران اجازه می‌دهند پیوست‌هایی را وارد کنند، که پتانسیل دانلود بدافزار از مکان‌های دور را دارند. این گزارش می‌گوید هکرها نوت‌بوک‌هایی را با پیام‌هایی مانند «فاکتور، حواله، ارسال و مضامین فصلی مانند پاداش کریسمس» به دست می‌دادند و هدف‌های خود را فریب می‌دادند تا محتوا را امن تصور کنند.

اگرچه ایمیل رایج‌ترین روش برای انتشار بدافزار است، محدود کردن ماکروها اثر دوگانه کاهش سطح حمله و افزایش هزینه‌های سربار مرتبط با انجام یک حمله دارد. اما استراتژی های دیگر نیز با پنهان کردن یک کد مخرب محبوبیت پیدا کرده اند. Ekipa RAT (تروجان دسترسی از راه دور) و سایر درهای پشتی نیز از طریق ماکروهای Microsoft Publisher و فایل های افزودنی اکسل (XLL) به عنوان بردارهای حمله توزیع شده اند.

به گفته کارشناسان امنیتی، استفاده از صفحات مایکروسافت OneNote برای انتشار بدافزار به کاربران بی‌احتیاط در حال افزایش است. محققان Proofpoint ادعا می کنند که شش کمپین را در دسامبر 2022 پیدا کردند که در یک مطالعه کامل از OneNote برای توزیع بدافزار AsyncRAT استفاده کردند. کمتر از یک ماه بعد، آنها بیش از 50 کمپین را در ژانویه 2023 شناسایی کردند. در همان ماه، یک عامل تهدید به نام TA577 شروع به توزیع Qbot از طریق OneNote کرد.

بخونید:  برترین داستان‌های فرهنگ فناوری TechSpot در سال 2022: مطمئن نیستم حامله یا قاچاق صدها CPU

گاهی اوقات، فریب‌های فیشینگ ایمیل حاوی یک فایل OneNote است که یک فایل HTA را تعبیه می‌کند که یک اسکریپت PowerShell را برای بازیابی یک بار مخرب از یک سرور راه دور راه‌اندازی می‌کند. در سناریوهای دیگر، یک VBScript مخرب که در صفحه OneNote تعبیه شده و توسط تصویری که به نظر یک دکمه مفید به نظر می رسد پنهان شده است، اجرا می شود. از سوی دیگر، VBScript برای اجرای اسکریپت Doubleback PowerShell طراحی شده است.

یک سیب زمینی داغ: عوامل تهدید، پیوست‌های OneNote را در ایمیل‌های فیشینگ خود گنجانده‌اند تا قربانیان را با بدافزار دسترسی از راه دور آلوده کنند که می‌تواند برای سرقت گذرواژه‌ها یا حتی دسترسی به کیف پول‌های ارزهای دیجیتال مورد استفاده قرار گیرد. پیوست‌های بدافزار Word و Excel که ماکروها را برای دانلود و نصب بدافزار راه‌اندازی می‌کنند، برای سال‌ها توسط مهاجمان برای توزیع بدافزار از طریق ایمیل‌ها استفاده می‌شوند. با این حال، مایکروسافت در نهایت در سال 2022 ماکروها را به طور پیش فرض در اسناد آفیس غیرفعال کرد و این روش توزیع ویروس را ناکارآمد کرد.

XWorm، Qakbot، BATLOADER، Agent Tesla، DOUBLEBACK، Quasar RAT، AsyncRAT، RedLine Stealer و FormBook چند خانواده بدافزار معروف هستند که از این روش انتشار استفاده می‌کنند.