Desde que a Microsoft começou a bloquear macros por padrão em 2022, os cibercriminosos experimentaram muitas novas táticas, técnicas e procedimentos (TTPs), incluindo o uso de tipos de arquivo raramente observados anteriormente, como unidades de disco rígido virtual (VHD), HTML compilado (CHM) , e agora OneNote (.one). No momento da análise, várias amostras de malware do OneNote observadas pelo Proofpoint não foram detectadas por vários fornecedores de antivírus no VirusTotal.
Embora os assuntos e remetentes dos e-mails variem, quase todas as campanhas usam mensagens exclusivas para espalhar malware e normalmente não usam o seqüestro de threads. Os e-mails geralmente contêm anexos de arquivos do OneNote com tópicos como "fatura", "transferência bancária", "envio" ou tópicos sazonais como "bônus de férias". Em meados de janeiro de 2023, os pesquisadores da Proofpoint observaram cibercriminosos usando URLs para enviar anexos do OneNote que aproveitam os mesmos TTPs para executar malware. Isso inclui uma campanha TA577 em 31 de janeiro de 2023.
Documentos do OneNote com arquivos incorporados
Os documentos do OneNote contêm arquivos incorporados, geralmente ocultos atrás de um gráfico que se parece com um botão. Se o usuário clicar duas vezes no arquivo incorporado, ele receberá um aviso. Quando o usuário clica em Avançar, o arquivo é executado. O arquivo pode ser de diferentes tipos de arquivos executáveis, arquivos de atalho (LNK) ou arquivos de script como aplicativo HTML (HTA) ou arquivos de script do Windows (WSF).
O número de campanhas que usam anexos do OneNote aumentou significativamente entre dezembro de 2022 e 31 de janeiro de 2023. Enquanto os especialistas da Proofpoint só observaram campanhas do OneNote com malware AsyncRAT em dezembro, em janeiro de 2023 os pesquisadores encontraram sete outros tipos de malware distribuídos por meio de anexos do OneNote: Redline, AgentTesla, Quasar RAT, XWorm, Netwire e DOUBLEBACK Qbot. As campanhas visaram organizações em todo o mundo, incluindo a Europa.
O número crescente de campanhas e a variedade de malware implantado sugerem que o OneNote agora está sendo usado por vários atores com diferentes conjuntos de habilidades. Embora algumas campanhas usem atrativos e públicos semelhantes, a maioria das campanhas usa infraestrutura, temas e públicos diferentes. Apenas uma campanha pode ser atribuída a um grupo cibercriminoso específico: TA577.
preocupação e esperança
A Proofpoint acredita que vários grupos cibercriminosos estão usando anexos do OneNote para enganar os mecanismos de defesa. O uso do OneNote pelo TA577 indica que outros jogadores mais capazes logo adotarão essa técnica. Isso é preocupante: como um chamado "corretor de acesso inicial", o TA577 abre caminho para infecções subsequentes com outro malware, incluindo ransomware. Com base em dados de repositórios de malware de código aberto, a Proofpoint determinou que os anexos originalmente usados não foram detectados como maliciosos por vários mecanismos antivírus. Portanto, é provável que as campanhas iniciais tivessem uma alta taxa de eficácia (clientes Proofpoint foram protegidos porque as mensagens foram classificadas como maliciosas).
Um motivo de esperança é o fato de que um ataque só é bem-sucedido se o destinatário agir após abrir o anexo, especificamente clicando no arquivo incorporado e ignorando a mensagem de aviso exibida pelo OneNote. As empresas devem educar seus usuários finais sobre essa técnica e incentivá-los a relatar e-mails e anexos suspeitos.
Mais em Proofpoint.com
Sobre o Proofpoint A Proofpoint, Inc. é uma empresa líder em cibersegurança. O foco da Proofpoint é a proteção dos funcionários. Porque estes representam o maior capital para uma empresa, mas também o maior risco. Com um conjunto integrado de soluções de segurança cibernética baseadas em nuvem, a Proofpoint ajuda organizações em todo o mundo a interromper ameaças direcionadas, proteger seus dados e educar os usuários corporativos de TI sobre os riscos de ataques cibernéticos.