Desde que Microsoft comenzó a bloquear las macros de forma predeterminada en 2022, los ciberdelincuentes han experimentado con muchas tácticas, técnicas y procedimientos (TTP) nuevos, incluido el uso de tipos de archivos que antes rara vez se observaban, como unidades de disco duro virtuales (VHD), HTML compilado (CHM) y ahora OneNote (.one). En el momento del análisis, varios proveedores de antivirus en VirusTotal no detectaron varias muestras de malware de OneNote observadas por Proofpoint.
Si bien los asuntos y los remitentes de los correos electrónicos varían, casi todas las campañas usan mensajes únicos para propagar malware y, por lo general, no utilizan el secuestro de hilos. Los correos electrónicos suelen contener archivos adjuntos de OneNote con temas como "factura", "transferencia bancaria", "envío" o temas de temporada como "bono de vacaciones". A mediados de enero de 2023, los investigadores de Proofpoint observaron que los ciberdelincuentes usaban URL para enviar archivos adjuntos de OneNote que aprovechan los mismos TTP para ejecutar malware. Esto incluye una campaña TA577 el 31 de enero de 2023.
Documentos de OneNote con archivos incrustados
Los documentos de OneNote contienen archivos incrustados, a menudo ocultos detrás de un gráfico que parece un botón. Si el usuario hace doble clic en el archivo incrustado, se le presentará una advertencia. Cuando el usuario hace clic en Siguiente, se ejecuta el archivo. El archivo puede ser de diferentes tipos de archivos ejecutables, archivos de acceso directo (LNK) o archivos de script como una aplicación HTML (HTA) o archivos de script de Windows (WSF).
La cantidad de campañas que utilizan archivos adjuntos de OneNote aumentó significativamente entre diciembre de 2022 y el 31 de enero de 2023. Si bien los expertos de Proofpoint solo observaron campañas de OneNote con malware AsyncRAT en diciembre, en enero de 2023 los investigadores encontraron otros siete tipos de malware distribuidos a través de archivos adjuntos de OneNote: Redline, AgentTesla, Quasar RAT, XWorm, Netwire y DOUBLEBACK Qbot. Las campañas se dirigieron a organizaciones de todo el mundo, incluida Europa.
El número cada vez mayor de campañas y la variedad de malware implementado sugieren que OneNote ahora está siendo utilizado por múltiples actores con diferentes conjuntos de habilidades. Si bien algunas campañas utilizan señuelos y audiencias similares, la mayoría de las campañas utilizan diferentes infraestructuras, temas y audiencias. Solo se podía asignar una campaña a un grupo de ciberdelincuentes específico: TA577.
preocupación y esperanza
Proofpoint cree que varios grupos de ciberdelincuentes están utilizando archivos adjuntos de OneNote para engañar a los mecanismos de defensa. El uso de OneNote por parte de TA577 indica que otros jugadores más capaces pronto adoptarán esta técnica. Esto es preocupante: como el llamado "intermediario de acceso inicial", TA577 allana el camino para infecciones posteriores con otro malware, incluido el ransomware. Según los datos de los repositorios de malware de código abierto, Proofpoint determinó que los archivos adjuntos utilizados originalmente no fueron detectados como maliciosos por varios motores antivirus. Por lo tanto, es probable que las campañas iniciales tuvieran una alta tasa de efectividad (los clientes de Proofpoint estaban protegidos ya que los mensajes se clasificaban como maliciosos).
Un motivo de esperanza es el hecho de que un ataque solo tiene éxito si el destinatario realiza alguna acción después de abrir el archivo adjunto, específicamente haciendo clic en el archivo incrustado e ignorando el mensaje de advertencia que muestra OneNote. Las empresas deben educar a sus usuarios finales sobre esta técnica y alentarlos a informar correos electrónicos y archivos adjuntos sospechosos.
Más en Proofpoint.com
Acerca de Proofpoint Proofpoint, Inc. es una empresa líder en ciberseguridad. El enfoque de Proofpoint es la protección de los empleados. Porque estos significan el mayor capital para una empresa, pero también el mayor riesgo. Con un conjunto integrado de soluciones de ciberseguridad basadas en la nube, Proofpoint ayuda a las organizaciones de todo el mundo a detener las amenazas dirigidas, proteger sus datos y educar a los usuarios de TI empresariales sobre los riesgos de los ciberataques.