بررسیها نشان میدهد که در سه ماهه اخیر، پیوست کردن فایل OneNote مخرب به ایمیل و ارسال آن به قربانی به تکنیکی پرطرفدار در میان مهاجمان تبدیل شده است.
Microsoft OneNote یکی از برنامههای مجموعه نرمافزاری Microsoft Office است.
به گفته آواست (Avast)، این شرکت، در سه ماهه اول 2023، بیش از 47 هزار حمله مبتنی بر این تکنیک را شناسایی کرده است.
در اوایل امسال نیز شرکت مکآفی (McAfee)، از گسترش ایمیلهای ناقل OneNote برای توزیع بدافزار خبر داد.
در جریان این حملات، زمانی که فایل OneNote – پیوست ایمیل – توسط کاربر باز میشود، اسکریپت درون آن اقدام به دریافت و اجرای بدافزار موردنظر مهاجمان بر روی دستگاه میکند.
به گفته مکآفی در برخی نمونهها، فایل OneNote، خود، در یک فایل ZIP یا ISO که به ایمیل پیوست شده جاسازی گردیده است.
از جمله بدافزارهایی که در ماههای اخیر گردانندگان آنها از فایلهای OneNote برای انتشار آنها استفاده کردهاند میتوان به موارد زیر اشاره کرد:
- AgentTesla
- AsyncRAT
- Doubleback
- Formbook
- IceID
- Netwire
- Qakbot
- QuasarRAT
- Raccoon
- RedLine
- Remcos
- XWORM
موفقیت مهاجمان در اجرای این تکنیک، مستلزم متقاعد شدن کاربر در اجرای پیوست ایمیل است. آموزش کاربران در مقابله با حملات فیشینگ نقشی کلیدی در ایمن ماندن از گزند این نوع تهدیدات دارد.
منابع:
- https://decoded.avast.io/threatresearch/avast-q1-2023-threat-report/
- https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rising-trend-of-onenote-documents-for-malware-delivery/