Depuis que Microsoft a commencé à bloquer les macros par défaut en 2022, les cybercriminels ont expérimenté de nombreuses nouvelles tactiques, techniques et procédures (TTP), y compris l'utilisation de types de fichiers auparavant rarement observés tels que les disques durs virtuels (VHD), HTML compilé (CHM) , et maintenant OneNote (.one). Au moment de l'analyse, plusieurs échantillons de logiciels malveillants OneNote observés par Proofpoint n'ont pas été détectés par de nombreux éditeurs d'antivirus sur VirusTotal.
Bien que les sujets et les expéditeurs des e-mails varient, presque toutes les campagnes utilisent des messages uniques pour diffuser des logiciels malveillants et n'utilisent généralement pas le détournement de threads. Les e-mails contiennent généralement des pièces jointes OneNote avec des sujets tels que "facture", "virement bancaire", "expédition" ou des sujets saisonniers tels que "prime de vacances". À la mi-janvier 2023, les chercheurs de Proofpoint ont observé des cybercriminels utilisant des URL pour soumettre des pièces jointes OneNote qui exploitent les mêmes TTP pour exécuter des logiciels malveillants. Cela inclut une campagne TA577 le 31 janvier 2023.
Documents OneNote avec fichiers intégrés
Les documents OneNote contiennent des fichiers intégrés, souvent cachés derrière un graphique qui ressemble à un bouton. Si l'utilisateur double-clique sur le fichier intégré, un avertissement lui sera présenté. Lorsque l'utilisateur clique sur Suivant, le fichier s'exécute. Le fichier peut être différents types de fichiers exécutables, de fichiers de raccourcis (LNK) ou de fichiers de script comme l'application HTML (HTA) ou les fichiers de script Windows (WSF).
Le nombre de campagnes utilisant des pièces jointes OneNote a considérablement augmenté entre décembre 2022 et le 31 janvier 2023. Alors que les experts de Proofpoint n'ont observé des campagnes OneNote avec des logiciels malveillants AsyncRAT qu'en décembre, en janvier 2023, les chercheurs ont découvert sept autres types de logiciels malveillants distribués via des pièces jointes OneNote : Redline, AgentTesla, Quasar RAT, XWorm, Netwire et DOUBLEBACK Qbot. Les campagnes ciblaient des organisations du monde entier, y compris l'Europe.
Le nombre croissant de campagnes et la variété des logiciels malveillants déployés suggèrent que OneNote est désormais utilisé par plusieurs acteurs aux compétences différentes. Alors que certaines campagnes utilisent des leurres et des audiences similaires, la plupart des campagnes utilisent des infrastructures, des thèmes et des audiences différents. Une seule campagne pouvait être attribuée à un groupe de cybercriminels spécifique : TA577.
inquiétude et espoir
Proofpoint pense que plusieurs groupes de cybercriminels utilisent des pièces jointes OneNote pour tromper les mécanismes de défense. L'utilisation de OneNote par TA577 indique que d'autres joueurs plus capables adopteront bientôt cette technique. C'est inquiétant : en tant que soi-disant "courtier d'accès initial", TA577 ouvre la voie à des infections ultérieures par d'autres logiciels malveillants, y compris les ransomwares. Sur la base des données des référentiels de logiciels malveillants open source, Proofpoint a déterminé que les pièces jointes utilisées à l'origine n'étaient pas détectées comme malveillantes par plusieurs moteurs antivirus. Par conséquent, il est probable que les campagnes initiales aient eu un taux d'efficacité élevé (les clients de Proofpoint étaient protégés car les messages étaient classés comme malveillants).
Une raison d'espérer est le fait qu'une attaque ne réussit que si le destinataire agit après avoir ouvert la pièce jointe, notamment en cliquant sur le fichier intégré et en ignorant le message d'avertissement affiché par OneNote. Les entreprises doivent informer leurs utilisateurs finaux de cette technique et les encourager à signaler les e-mails et pièces jointes suspects.
Plus sur Proofpoint.com
À propos de Propoint Proofpoint, Inc. est une entreprise leader dans le domaine de la cybersécurité. Proofpoint se concentre sur la protection des employés. Parce que ceux-ci signifient le plus grand capital pour une entreprise, mais aussi le plus grand risque. Avec une suite intégrée de solutions de cybersécurité basées sur le cloud, Proofpoint aide les organisations du monde entier à stopper les menaces ciblées, à protéger leurs données et à informer les utilisateurs informatiques des entreprises sur les risques de cyberattaques.