Hackers están distribuyendo malware constantemente en los documentos de Microsoft OneNote
Hackers están distribuyendo malware constantemente en los documentos de Microsoft OneNote
Microsoft está probando las actualizaciones Windows Feature Experience Pack con los usuarios de Windows Insider
En una señal continua de que los hackers se están adaptando bien a un mundo posterior a las macros, surgió que el uso de documentos de Microsoft OneNote para entregar malware a través de ataques de phishing está en constante aumento.
Algunas de las familias de malware notables que se distribuyen con este método incluyen AsyncRAT, RedLine Stealer, Agent Tesla, DOUBLEBACK, Quasar RAT, XWorm, Quakbot, BATLOADER y FormBoook.
La empresa de seguridad empresarial Proofpoint dijo que detectó más de 50 campañas que aprovechaban los archivos adjuntos de OneNote solo en el mes de enero de 2023.
En algunos casos, los señuelos de phishing de correo electrónico contienen un archivo de OneNote que, a su vez, incorpora un archivo HTA que invoca un script de PowerShell para recuperar un binario malicioso de un servidor remoto.
Otros escenarios implican la ejecución de un VBScript no autorizado que está incrustado en el documento de OneNote y ocultó detrás de una imagen que parece un botón aparentemente inofensivo. El VBScript, por su parte, está diseñado para soltar un script de PowerShell para ejecutar DOUBLEBACK.
«Es importante tener en cuenta que un ataque solo tiene éxito si el destinatario interactúa con el archivo adjunto, específicamente al hacer clic en el archivo incrustado e ignorar el mensaje de advertencia que muestra OneNote», dijo Proofpoint.
Las cadenas de infección son posibles gracias a una función de OneNote que permite la ejecución de tipos de archivos seleccionados directamente desde la aplicación para tomar notas en lo que es un caso de ataque de «contrabando de carga útil».
«La mayoría de los tipos de archivos que pueden ser procesados por MSHTA, WSCRIPT y CSCRIPT pueden ejecutarse desde OneNote. Estos tipos de archivos incluyen CHM, HTA, JS, WSF y VBS», dijox Scott Nuscaum, investigador de TrustedSec.
Como medidas correctivas, la compañía finlandesa de seguridad cibernética WithSecure recomienda a los usuarios bloquear los archivos adjuntos de correo de OneNote (archivos .one y .onepkg) y controlar de cerca las operaciones del proceso OneNote.exe.
El cambio a OneNote se considera una respuesta a la decisión de Microsoft de no permitir macros de forma predeterminada en las aplicaciones de Microsoft Office de descargadas de Internet el año pasado, lo que llevó a los atacantes a experimentar con tipos de archivos poco comunes como ISO, VHD, SVG, CHM, RAR, HTML y LNK.
El objetivo del bloqueo de macros es doble: no solo reducir la superficie de ataque, sino también aumentar el esfuerzo necesario para llevar a cabo un ataque, incluso cuando el correo electrónico sigue siendo el principal vector de entrega de malware.
Pero estas no son las únicas opciones que se han convertido en una forma popular de ocultar el código malicioso. Los archivos complementarios de Microsoft Excel (XLL) y las macros de Publisher también se han utilizado como vía de ataque para eludir las protecciones de Microsoft y propagar un troyano de acceso remoto llamado Ekipa RAT y otras backdoors.
El abuso de los archivos XLL no ha pasado desapercibido para Microosft, que está planeando una actualización para «bloquear los complementos XLL provenientes de Internet», citando un «número creciente de ataques de malware en los últimos meses». Se espera que la opción esté disponible en algún momento de marzo de 2023.
«Es claro ver cómo los ciberdelincuentes aprovechan nuevos vectores de ataque o medios menos detectados para comprometer los dispositivos de los usuarios. Es probable que estas campañas proliferen en los siguientes meses, con ciberdelincuentes probando ángulos mejores o mejorados para comprometer a las víctimas», dijo Adrian Miron de Bitdefender.
