Microsoft, Nisan 2023’ten itibaren, kullanıcılar bilinen bir yüksek riskli kimlik avı dosya türü olan OneNote belgesine katıştırılmış bir dosyayı açtığında veya indirdiğinde gelişmiş koruma ekleyeceğini duyurdu.
Şirket, “Windows’ta OneNote’ta dosya koruma deneyimini iyileştirmek için dosyalar tehlikeli göründüğünde kullanıcılar bir bildirim alacak” dedi.
Kötü amaçlı yazılım dağıtımı için popüler bir teknik
Geçen Temmuz ayında Microsoft, VBA makrolarının internetten edinilen Office dosyalarında varsayılan olarak çalışmasını engellemeye başladığında, saldırganlar LNK’ler, DLL’ler veya yürütülebilir dosyalar teslim etmek için kapsayıcı dosya biçimlerini (ISO, RAR, ZIP) ve IMG dosyalarını kullanmaya başladı. hedefin bilgisayarı.
Geçişin nedeni, o sırada, kurbanlar onları açmaya çalıştığında güvenlik uyarılarını göstermemeleriydi. Hatta HTML kaçakçılığı gibi bazı daha az popüler kötü amaçlı yazılım teslim teknikleri zemin kazanmaya başladı.
Ancak 2023’ün başlarında, saldırganların çeşitli kötü amaçlı yazılımları dağıtmak için truva atı haline getirilmiş OneNote belgelerini de kullanmaya başladıkları ortaya çıktı.
🧵
➡️ Ekli onenote belgesiyle teslim edilen kötü amaçlı spam postası
➡️ Onenote eki, tıklandığında şu konumda bulunan dışa aktarılan dosyayı yürüten bir düğme içerir: “C:\Users\user\AppData\Local\Temp\OneNote\16.0\Exported\{UUID}\NT\0” [1/3] pic.twitter.com/s6S7m18Fqo— Algı Noktası Saldırı Trendleri (@AttackTrends) 10 Ocak 2023
Genellikle OneNote belgeleri, genellikle bir düğme grafiğinin arkasına gizlenmiş katıştırılmış dosyalar içerir. Kullanıcı gömülü dosyayı tıkladığında bir uyarı görür. Kullanıcı devam et’i tıklarsa, dosya yürütülür. Dosya, farklı türde EXE’ler, LNK’ler veya HTA veya WSF gibi betik dosyaları olabilir.
— Tehdit Analizi (@threatinsight) 1 Şubat 2023
Microsoft OneNote nedir ve saldırganlar neden OneNote belgelerini sever?
OneNote, Microsoft Office paketine dahil olan not alma yazılımıdır. Farklı formatlarda bilgi toplamak için tasarlanmıştır: metin, resimler, sesli yorumlar, video klipler.
Bu notlar, işbirliğini geliştirmek için farklı kullanıcılar tarafından kullanılabilir, bu nedenle OneNote belgeleri ( .bir uzantısı) genellikle İnternet veya ağ üzerinden bir kullanıcıdan diğerine gönderilir.
“Gördüğümüz kadarıyla, herhangi bir dosya OneNote’a kolayca gömülebilir. Trustwave SpiderLabs araştırmacısı Bernard Bautista kısa süre önce, kurnaz sosyal mühendislik teknikleriyle birlikte, tehdit aktörlerinin bir hedefin sisteminin kontrolünü başarıyla ele geçirip hassas verileri çalabileceğini belirtti.
“Ayrıca, OneNote belgeleri ‘Korumalı Görünüm’ ve Web İşareti (MOTW) korumasını içermiyor, bu da potansiyel olarak kötü amaçlı dosyalara maruz kalma riskini artırıyor ve bu dosyaları siber suçlular için çekici kılıyor.”
Trustwave SpiderLabs araştırmacıları, Qakbot, XWorm, Icedid, Formbook ve AsyncRAT gibi kötü amaçlı yazılım ailelerini dağıtmak için truva atı haline getirilmiş OneNote belgelerini kullanan çeşitli kimlik avı ve hedefli kimlik avı kampanyalarını belgeledi.
Belgeler genellikle sorgu, beyan ve fatura görünümündedir, ancak açıldıktan sonra, kullanıcıdan belgeyi görüntülemek için bir düğmeyi çift tıklamasını isterler. Ne yazık ki, düğmenin altında, arka planda kötü amaçlı yükü indirip sessizce yürüten gömülü toplu komut dosyaları veya yürütülebilir dosyalar var.
Microsoft’un duyurduğu gelişmiş OneNote korumasıyla, bu kampanyaların verimliliği önemli ölçüde engellenebilir ve saldırganlar bir kez daha kötü amaçlı yazılım dağıtmak için yeni yollar bulmaya zorlanacak.