محققان Proofpoint فکر می کنند که محبوبیت OneNote در بین هکرها نتیجه یک تحقیق عمیق است. OneNote که بخشی از مجموعه مایکروسافت آفیس است اما اکنون به صورت رایگان به عنوان یک برنامه مستقل نیز ارائه می شود، پس از آزمایش و خطا با چندین نوع پیوست انتخاب شد زیرا نرخ تشخیص تا کنون پایین بوده است.
تحویل بدافزار از طریق فایلهای Microsoft OneNote در دنیای پسا ماکرو در حال رشد است
فایلهای OneNote به کاربران اجازه میدهند پیوستهایی را وارد کنند، که پتانسیل دانلود بدافزار از مکانهای دور را دارند. این گزارش میگوید هکرها نوتبوکهایی را با پیامهایی مانند «فاکتور، حواله، ارسال و مضامین فصلی مانند پاداش کریسمس» به دست میدادند و هدفهای خود را فریب میدادند تا محتوا را امن تصور کنند.
اگرچه ایمیل رایجترین روش برای انتشار بدافزار است، محدود کردن ماکروها اثر دوگانه کاهش سطح حمله و افزایش هزینههای سربار مرتبط با انجام یک حمله دارد. اما استراتژی های دیگر نیز با پنهان کردن یک کد مخرب محبوبیت پیدا کرده اند. Ekipa RAT (تروجان دسترسی از راه دور) و سایر درهای پشتی نیز از طریق ماکروهای Microsoft Publisher و فایل های افزودنی اکسل (XLL) به عنوان بردارهای حمله توزیع شده اند.
به گفته کارشناسان امنیتی، استفاده از صفحات مایکروسافت OneNote برای انتشار بدافزار به کاربران بیاحتیاط در حال افزایش است. محققان Proofpoint ادعا می کنند که شش کمپین را در دسامبر 2022 پیدا کردند که در یک مطالعه کامل از OneNote برای توزیع بدافزار AsyncRAT استفاده کردند. کمتر از یک ماه بعد، آنها بیش از 50 کمپین را در ژانویه 2023 شناسایی کردند. در همان ماه، یک عامل تهدید به نام TA577 شروع به توزیع Qbot از طریق OneNote کرد.
گاهی اوقات، فریبهای فیشینگ ایمیل حاوی یک فایل OneNote است که یک فایل HTA را تعبیه میکند که یک اسکریپت PowerShell را برای بازیابی یک بار مخرب از یک سرور راه دور راهاندازی میکند. در سناریوهای دیگر، یک VBScript مخرب که در صفحه OneNote تعبیه شده و توسط تصویری که به نظر یک دکمه مفید به نظر می رسد پنهان شده است، اجرا می شود. از سوی دیگر، VBScript برای اجرای اسکریپت Doubleback PowerShell طراحی شده است.
یک سیب زمینی داغ: عوامل تهدید، پیوستهای OneNote را در ایمیلهای فیشینگ خود گنجاندهاند تا قربانیان را با بدافزار دسترسی از راه دور آلوده کنند که میتواند برای سرقت گذرواژهها یا حتی دسترسی به کیف پولهای ارزهای دیجیتال مورد استفاده قرار گیرد. پیوستهای بدافزار Word و Excel که ماکروها را برای دانلود و نصب بدافزار راهاندازی میکنند، برای سالها توسط مهاجمان برای توزیع بدافزار از طریق ایمیلها استفاده میشوند. با این حال، مایکروسافت در نهایت در سال 2022 ماکروها را به طور پیش فرض در اسناد آفیس غیرفعال کرد و این روش توزیع ویروس را ناکارآمد کرد.
XWorm، Qakbot، BATLOADER، Agent Tesla، DOUBLEBACK، Quasar RAT، AsyncRAT، RedLine Stealer و FormBook چند خانواده بدافزار معروف هستند که از این روش انتشار استفاده میکنند.