Bilgisayar korsanları artık kötü amaçlı yazılım yaymak için Microsoft OneNote eklerini kullanıyor


Kötü amaçlı e-posta yükleme kötü amaçlı yazılım

Tehdit aktörleri artık daha fazla kötü amaçlı yazılım yüklemek, şifreleri çalmak ve hatta kripto para cüzdanlarını çalmak için kullanılabilecek uzaktan erişim kötü amaçlı yazılımlarını kurbanlara bulaştıran kimlik avı e-postalarında artık OneNote eklerini kullanıyor.

Bu, saldırganların yıllardır kötü amaçlı yazılım indirmek ve yüklemek için makroları başlatan kötü amaçlı Word ve Excel eklerini kullanarak e-postalarda kötü amaçlı yazılım dağıtmasından sonra gelir.

Ancak, Temmuz ayında Microsoft nihayet Office belgelerinde makroları varsayılan olarak devre dışı bırakarak bu yöntemi kötü amaçlı yazılım dağıtmak için güvenilmez hale getirdi.

Kısa bir süre sonra tehdit aktörleri, ISO görüntüleri ve parola korumalı ZIP dosyaları gibi yeni dosya biçimlerini kullanmaya başladı. Bu dosya formatları, ISO’ların güvenlik uyarılarını atlamasına izin veren bir Windows hatası ve ZIP arşivlerinden çıkarılan dosyalara web işaretlerini yaymayan popüler 7-Zip arşiv yardımcı programının yardımıyla kısa sürede son derece yaygın hale geldi.

Ancak, hem 7-Zip hem de Windows yakın zamanda bu hataları düzelterek, bir kullanıcı indirilen ISO ve ZIP dosyalarındaki dosyaları açmaya çalıştığında Windows’un korkutucu güvenlik uyarıları göstermesine neden oldu.

Bir ISO içindeki dosyalara yayılan Web'in işareti
Bir ISO içindeki dosyalara yayılan Web’in işareti
Kaynak: BleepingComputer

Tehdit aktörleri caydırılmamak için kötü amaçlı spam (malspam) eklerinde hızla yeni bir dosya formatı kullanmaya başladılar: Microsoft OneNote ekleri.

OneNote eklerini kötüye kullanma

Microsoft OneNote, ücretsiz olarak indirilebilen ve Microsoft Office 2019 ve Microsoft 365’te bulunan bir masaüstü dijital not defteri uygulamasıdır.

Microsoft OneNote, tüm Microsoft Office/365 kurulumlarında varsayılan olarak yüklendiğinden, bir Windows kullanıcısı uygulamayı kullanmasa bile, dosya biçimini açmak hala mümkündür.

Aralık ortasından bu yana siber güvenlik araştırmacıları, tehdit aktörlerinin dağıtıma başladı kötü amaçlı spam e-postalar OneNote ekleri içeren.

BleepingComputer tarafından bulunan örneklerden alınan bu kötü amaçlı e-postalar, DHL gönderi bildirimleri, faturalar, ACH havale formları, mekanik çizimler ve gönderi belgeleri gibi görünmektedir.

OneNote eki olan sahte DHL e-postası
OneNote eki olan sahte DHL e-postası
Kaynak: BleepingComputer

Word ve Excel’den farklı olarak OneNote, tehdit aktörlerinin daha önce kötü amaçlı yazılım yüklemek için komut dosyalarını başlatma yöntemi olan makroları desteklemez.

Bunun yerine OneNote, kullanıcıların, çift tıklatıldığında eki başlatacak olan bir Not Defterine ekler eklemesine izin verir.

Tehdit aktörleri, uzak bir siteden kötü amaçlı yazılım indirmek ve kurmak için çift tıklandığında komut dosyasını otomatik olarak başlatan kötü amaçlı VBS ekleri ekleyerek bu özelliği kötüye kullanıyor.

Bununla birlikte, ekler OneNote’ta bir dosyanın simgesi gibi görünür, bu nedenle tehdit aktörleri, eklenen VBS eklerini gizlemek için büyük bir ‘Dosyayı görüntülemek için çift tıklayın’ çubuğunu kaplar.

Kötü amaçlı OneNote e-posta eki
Kötü amaçlı OneNote e-posta eki
Kaynak: BleepingComputer

Belgeyi Görüntülemek İçin Tıklayın çubuğunu yoldan çektiğinizde, kötü amaçlı ekin birden çok ek içerdiğini görebilirsiniz. Bu ek sırası, kullanıcı çubuğun herhangi bir yerine çift tıkladığında, eki başlatmak için çift tıklatmasını sağlar.

Gizli OneNote ekleri
Gizli OneNote ekleri
Kaynak: BleepingComputer

Neyse ki, OneNote eklerini başlatırken program, bunun bilgisayarınıza ve verilerinize zarar verebileceği konusunda sizi uyarır.

Ancak ne yazık ki, tarih bize bu tür istemlerin genellikle göz ardı edildiğini ve kullanıcıların sadece Tamam düğmesini tıkladığını göstermiştir.

OneNote ek güvenlik uyarısı
OneNote ek güvenlik uyarısı
Kaynak: BleepingComputer

Tamam düğmesinin tıklanması, kötü amaçlı yazılım indirmek ve yüklemek için VBS komut dosyasını başlatır. BleepingComputer tarafından bulunan kötü amaçlı OneNote VBS dosyalarından birinde görebileceğiniz gibi, betik uzak bir sunucudan iki dosya indirecek ve çalıştıracaktır.

Aşağıda gösterilen ilki, açılan ve beklediğiniz belgeye benzeyen sahte bir OneNote belgesidir. Ancak VBS dosyası, cihaza kötü amaçlı yazılım yüklemek için arka planda kötü amaçlı bir toplu iş dosyası da yürütür.

OneNote ekine iliştirilmiş kötü amaçlı VB betiği
OneNote ekine iliştirilmiş kötü amaçlı VB betiği
Kaynak: BleepingComputer

BleepingComputer tarafından görülen kötü amaçlı e-postalarda, OneNote dosyaları bilgi çalma işlevi içeren uzaktan erişim truva atlarını yükler.

Siber güvenlik araştırmacısı James, BleepingComputer’a analiz ettiği OneNote eklerinin AsyncRAT ve XWorm uzaktan erişim truva atlarını yüklediğini söyleyerek bunu doğruladı.

BleepingComputer tarafından görülen bir OneNote eki, Quasar Uzaktan Erişim truva atı olarak algılanan şeyi yükler.

Bu tehditlere karşı koruma

Bu tür kötü amaçlı yazılımlar bir kez yüklendikten sonra, tehdit aktörlerinin bir kurbanın cihazına uzaktan erişerek dosyaları, kayıtlı tarayıcı parolalarını çalmasına, ekran görüntüleri almasına ve hatta bazı durumlarda web kameralarını kullanarak video kaydetmesine olanak tanır.

Tehdit aktörleri ayrıca kurbanların cihazlarından kripto para cüzdanlarını çalmak için genellikle uzaktan erişim truva atlarını kullanır ve bu da bunu maliyetli bir enfeksiyon haline getirir.

Kendinizi kötü amaçlı eklerden korumanın en iyi yolu, tanımadığınız kişilerden gelen dosyaları açmamaktır. Ancak yanlışlıkla bir dosyayı açarsanız, işletim sistemi veya uygulama tarafından görüntülenen uyarıları dikkate almayın.

Bir eki veya bağlantıyı açmanın bilgisayarınıza veya dosyalarınıza zarar verebileceğine dair bir uyarı görürseniz, Tamam’a basmayın ve uygulamayı kapatın.

Yasal bir e-posta olabileceğini düşünüyorsanız, dosyanın güvenli olup olmadığını doğrulamanıza yardımcı olması için bir güvenlik veya Windows yöneticisi ile paylaşın.





Source link