Da quando Microsoft ha iniziato a bloccare le macro per impostazione predefinita nel 2022, i criminali informatici hanno sperimentato molte nuove tattiche, tecniche e procedure (TTP), incluso l'uso di tipi di file precedentemente raramente osservati come dischi rigidi virtuali (VHD), HTML compilato (CHM) e ora OneNote (.one). Al momento dell'analisi, diversi campioni di malware di OneNote osservati da Proofpoint non sono stati rilevati da numerosi fornitori di antivirus su VirusTotal.
Mentre gli oggetti e i mittenti delle e-mail variano, quasi tutte le campagne utilizzano messaggi univoci per diffondere malware e in genere non utilizzano il thread hijacking. Le e-mail di solito contengono allegati di file OneNote con argomenti come "fattura", "bonifico bancario", "spedizione" o argomenti stagionali come "bonus vacanze". A metà gennaio 2023, i ricercatori di Proofpoint hanno osservato i criminali informatici che utilizzavano gli URL per inviare allegati OneNote che sfruttano gli stessi TTP per eseguire malware. Ciò include una campagna TA577 il 31 gennaio 2023.
Documenti OneNote con file incorporati
I documenti OneNote contengono file incorporati, spesso nascosti dietro un'immagine che assomiglia a un pulsante. Se l'utente fa doppio clic sul file incorporato, gli verrà presentato un avviso. Quando l'utente fa clic su Avanti, il file viene eseguito. Il file può essere di diversi tipi di file eseguibili, file di collegamento (LNK) o file di script come l'applicazione HTML (HTA) o file di script di Windows (WSF).
Il numero di campagne che utilizzano gli allegati di OneNote è aumentato in modo significativo tra il dicembre 2022 e il 31 gennaio 2023. Mentre gli esperti di Proofpoint hanno osservato solo le campagne OneNote con malware AsyncRAT a dicembre, nel gennaio 2023 i ricercatori hanno trovato altri sette tipi di malware distribuiti tramite allegati OneNote: Redline, AgentTesla, Quasar RAT, XWorm, Netwire e DOUBLEBACK Qbot. Le campagne hanno preso di mira le organizzazioni di tutto il mondo, compresa l'Europa.
Il numero crescente di campagne e la varietà di malware distribuiti suggeriscono che OneNote viene ora utilizzato da più attori con competenze diverse. Sebbene alcune campagne utilizzino esche e segmenti di pubblico simili, la maggior parte delle campagne utilizza infrastrutture, temi e segmenti di pubblico diversi. Solo una campagna può essere assegnata a uno specifico gruppo di criminali informatici: TA577.
preoccupazione e speranza
Proofpoint ritiene che diversi gruppi di criminali informatici stiano utilizzando gli allegati di OneNote per ingannare i meccanismi di difesa. L'uso di OneNote da parte di TA577 indica che altri giocatori più capaci adotteranno presto questa tecnica. Questo è preoccupante: come cosiddetto "broker di accesso iniziale", TA577 apre la strada a successive infezioni con altri malware, incluso il ransomware. Sulla base dei dati nei repository di malware open source, Proofpoint ha determinato che gli allegati originariamente utilizzati non sono stati rilevati come dannosi da diversi motori antivirus. Pertanto, è probabile che le campagne iniziali abbiano avuto un alto tasso di efficacia (i clienti Proofpoint erano protetti in quanto i messaggi erano classificati come dannosi).
Un motivo di speranza è il fatto che un attacco ha successo solo se il destinatario interviene dopo aver aperto l'allegato, in particolare facendo clic sul file incorporato e ignorando il messaggio di avviso visualizzato da OneNote. Le aziende dovrebbero istruire i propri utenti finali su questa tecnica e incoraggiarli a segnalare e-mail e allegati sospetti.
Altro su Proofpoint.com
A proposito di Proofpoint Proofpoint, Inc. è un'azienda leader nella sicurezza informatica. L'obiettivo di Proofpoint è la protezione dei dipendenti. Perché questi significano il capitale più grande per un'azienda, ma anche il rischio più grande. Con una suite integrata di soluzioni di sicurezza informatica basate su cloud, Proofpoint aiuta le organizzazioni di tutto il mondo a bloccare le minacce mirate, proteggere i propri dati e istruire gli utenti IT aziendali sui rischi degli attacchi informatici.