Siber Suçlar , Uç Nokta Güvenliği , Dolandırıcılık Yönetimi ve Siber Suçlar
Pwn Edilirken Düşüncelerinizi, Keşiflerinizi ve Fikirlerinizi Yakalayın
Prajeet Nair (@prajeetspeaks) •
2 Şubat 2023
En azından birileri Microsoft OneNote kullanıyor: Güvenlik araştırmacıları, bilgi işlem devinin Office program paketinde bulunan not alma uygulaması aracılığıyla kötü amaçlı yazılım dağıtan bilgisayar korsanlarının sayısında bir artış tespit ettiklerini söylüyorlar.
Ayrıca bakınız: Üç Aylık Tehdit Raporu: MFA Yorgunluğu Riski
Son iki ayda kötü amaçlı yazılımlarda ani bir artış .one Proofpoint’teki araştırmacılara göre, dosyalar büyük olasılıkla bilgisayar korsanlarının Microsoft’un makrolar üzerindeki baskısına uyum sağlamasından kaynaklanıyor ve bu da onları kötü amaçlı yazılımları tehdit algılamayı geçerek kaçırmanın başka yollarını aramaya yönlendiriyor.
Araştırmacılar, başlangıçta şirket tarafından gözlemlenen eklerin antivirüs motorlarında kötü amaçlı olarak kaydedilmediğini, bu da gelen kutularında görünen e-postaların yüksek bir bulaşma oranına sahip olma olasılığını artırdığını söylüyor.
OneNote tarafından sağlanan kötü amaçlı yazılım, kullanıcıların ek dosyaları açtıklarında Microsoft’un kendilerine attığı uyarı mesajlarını tıklamasını gerektirir. Birden fazla tehdit aktörü, bir tehdit vektörü olarak OneNote’a başvuruyor, ancak Proofpoint, TA577 olarak izlediği tehdit aktörü tarafından taktiğin benimsenmesinin özellikle endişe verici olduğunu söylüyor.
Proofpoint, “TA577’nin OneNote’u benimsemesi, diğer daha gelişmiş aktörlerin yakında bu tekniği kullanmaya başlayacağını gösteriyor. Bu endişe verici: TA577, fidye yazılımı da dahil olmak üzere ek kötü amaçlı yazılımlar için takip eden bulaşmaları kolaylaştıran bir ilk erişim aracısıdır” diyor.
Firma, TA577’yi REvil ve Black Basta fidye yazılımı olaylarıyla ilişkili “üretken bir siber suç tehdit aktörü” olarak nitelendiriyor. Sadece birkaç gün önce, Qbot’a OneNote’u içeren bir saldırı zinciri sağladı.
Gözlemlenen OneNote kampanyaları benzer özellikleri paylaşır. Kimlik avı iletileri genellikle “fatura, havale, nakliye” veya dönemsel temalar gibi temalara sahip OneNote dosya ekleri içerir. Bilgisayar korsanları ayrıca OneNote dosyalarını indirmek için bağlantılar gönderdi.
Belgeler, “genellikle bir düğme gibi görünen bir grafiğin arkasına gizlenmiş” gömülü dosyalar içerir. Kullanıcı katıştırılmış dosyayı çift tıklattığında – ve Microsoft’un güvenlik uyarılarını aştığında – dosya yürütülür. Kampanyalar aracılığıyla sağlanan yükler arasında AsyncRAT, QuasarRAT, XWorm, Redline, AgentTesla ve NetWire bulunur.
Proofpoint, son zamanlarda bilgisayar korsanları arasında OneNote’a geçiş gözlemleyen tek siber güvenlik firması değil. Aralık ayında Trustwave, Formbook kötü amaçlı yazılımlarını taşımak için OneNote kullanan bir kampanya tespit etti.