Tehdit aktörleri artık daha fazla kötü amaçlı yazılım yüklemek, şifreleri çalmak ve hatta kripto para cüzdanlarını çalmak için kullanılabilecek uzaktan erişim kötü amaçlı yazılımlarını kurbanlara bulaştıran kimlik avı e-postalarında artık OneNote eklerini kullanıyor.
Bu, saldırganların yıllardır kötü amaçlı yazılım indirmek ve yüklemek için makroları başlatan kötü amaçlı Word ve Excel eklerini kullanarak e-postalarda kötü amaçlı yazılım dağıtmasından sonra gelir.
Ancak, Temmuz ayında Microsoft nihayet Office belgelerinde makroları varsayılan olarak devre dışı bırakarak bu yöntemi kötü amaçlı yazılım dağıtmak için güvenilmez hale getirdi.
Kısa bir süre sonra tehdit aktörleri, ISO görüntüleri ve parola korumalı ZIP dosyaları gibi yeni dosya biçimlerini kullanmaya başladı. Bu dosya formatları, ISO’ların güvenlik uyarılarını atlamasına izin veren bir Windows hatası ve ZIP arşivlerinden çıkarılan dosyalara web işaretlerini yaymayan popüler 7-Zip arşiv yardımcı programının yardımıyla kısa sürede son derece yaygın hale geldi.
Ancak, hem 7-Zip hem de Windows yakın zamanda bu hataları düzelterek, bir kullanıcı indirilen ISO ve ZIP dosyalarındaki dosyaları açmaya çalıştığında Windows’un korkutucu güvenlik uyarıları göstermesine neden oldu.
Kaynak: BleepingComputer
Tehdit aktörleri caydırılmamak için kötü amaçlı spam (malspam) eklerinde hızla yeni bir dosya formatı kullanmaya başladılar: Microsoft OneNote ekleri.
OneNote eklerini kötüye kullanma
Microsoft OneNote, ücretsiz olarak indirilebilen ve Microsoft Office 2019 ve Microsoft 365’te bulunan bir masaüstü dijital not defteri uygulamasıdır.
Microsoft OneNote, tüm Microsoft Office/365 kurulumlarında varsayılan olarak yüklendiğinden, bir Windows kullanıcısı uygulamayı kullanmasa bile, dosya biçimini açmak hala mümkündür.
Aralık ortasından bu yana siber güvenlik araştırmacıları, tehdit aktörlerinin dağıtıma başladı kötü amaçlı spam e-postalar OneNote ekleri içeren.
BleepingComputer tarafından bulunan örneklerden alınan bu kötü amaçlı e-postalar, DHL gönderi bildirimleri, faturalar, ACH havale formları, mekanik çizimler ve gönderi belgeleri gibi görünmektedir.
Kaynak: BleepingComputer
Word ve Excel’den farklı olarak OneNote, tehdit aktörlerinin daha önce kötü amaçlı yazılım yüklemek için komut dosyalarını başlatma yöntemi olan makroları desteklemez.
Bunun yerine OneNote, kullanıcıların, çift tıklatıldığında eki başlatacak olan bir Not Defterine ekler eklemesine izin verir.
Tehdit aktörleri, uzak bir siteden kötü amaçlı yazılım indirmek ve kurmak için çift tıklandığında komut dosyasını otomatik olarak başlatan kötü amaçlı VBS ekleri ekleyerek bu özelliği kötüye kullanıyor.
Bununla birlikte, ekler OneNote’ta bir dosyanın simgesi gibi görünür, bu nedenle tehdit aktörleri, eklenen VBS eklerini gizlemek için büyük bir ‘Dosyayı görüntülemek için çift tıklayın’ çubuğunu kaplar.
Kaynak: BleepingComputer
Belgeyi Görüntülemek İçin Tıklayın çubuğunu yoldan çektiğinizde, kötü amaçlı ekin birden çok ek içerdiğini görebilirsiniz. Bu ek sırası, kullanıcı çubuğun herhangi bir yerine çift tıkladığında, eki başlatmak için çift tıklatmasını sağlar.
Kaynak: BleepingComputer
Neyse ki, OneNote eklerini başlatırken program, bunun bilgisayarınıza ve verilerinize zarar verebileceği konusunda sizi uyarır.
Ancak ne yazık ki, tarih bize bu tür istemlerin genellikle göz ardı edildiğini ve kullanıcıların sadece Tamam düğmesini tıkladığını göstermiştir.
Kaynak: BleepingComputer
Tamam düğmesinin tıklanması, kötü amaçlı yazılım indirmek ve yüklemek için VBS komut dosyasını başlatır. BleepingComputer tarafından bulunan kötü amaçlı OneNote VBS dosyalarından birinde görebileceğiniz gibi, betik uzak bir sunucudan iki dosya indirecek ve çalıştıracaktır.
Aşağıda gösterilen ilki, açılan ve beklediğiniz belgeye benzeyen sahte bir OneNote belgesidir. Ancak VBS dosyası, cihaza kötü amaçlı yazılım yüklemek için arka planda kötü amaçlı bir toplu iş dosyası da yürütür.
Kaynak: BleepingComputer
BleepingComputer tarafından görülen kötü amaçlı e-postalarda, OneNote dosyaları bilgi çalma işlevi içeren uzaktan erişim truva atlarını yükler.
Siber güvenlik araştırmacısı James, BleepingComputer’a analiz ettiği OneNote eklerinin AsyncRAT ve XWorm uzaktan erişim truva atlarını yüklediğini söyleyerek bunu doğruladı.
Ön ipucu: Çevrenizdeki/e-posta ağ geçidinizdeki .one dosyalarını engellemiyorsanız… zamanı geldi.
— James (@James_inthe_box) 17 Ocak 2023
BleepingComputer tarafından görülen bir OneNote eki, Quasar Uzaktan Erişim truva atı olarak algılanan şeyi yükler.
Bu tehditlere karşı koruma
Bu tür kötü amaçlı yazılımlar bir kez yüklendikten sonra, tehdit aktörlerinin bir kurbanın cihazına uzaktan erişerek dosyaları, kayıtlı tarayıcı parolalarını çalmasına, ekran görüntüleri almasına ve hatta bazı durumlarda web kameralarını kullanarak video kaydetmesine olanak tanır.
Tehdit aktörleri ayrıca kurbanların cihazlarından kripto para cüzdanlarını çalmak için genellikle uzaktan erişim truva atlarını kullanır ve bu da bunu maliyetli bir enfeksiyon haline getirir.
Kendinizi kötü amaçlı eklerden korumanın en iyi yolu, tanımadığınız kişilerden gelen dosyaları açmamaktır. Ancak yanlışlıkla bir dosyayı açarsanız, işletim sistemi veya uygulama tarafından görüntülenen uyarıları dikkate almayın.
Bir eki veya bağlantıyı açmanın bilgisayarınıza veya dosyalarınıza zarar verebileceğine dair bir uyarı görürseniz, Tamam’a basmayın ve uygulamayı kapatın.
Yasal bir e-posta olabileceğini düşünüyorsanız, dosyanın güvenli olup olmadığını doğrulamanıza yardımcı olması için bir güvenlik veya Windows yöneticisi ile paylaşın.