警惕!黑客现在开始使用 Microsoft OneNote 附件传播恶意软件和病毒!-零度博客

警惕!黑客现在开始使用 Microsoft OneNote 附件传播恶意软件和病毒!

图片[1]-警惕!黑客现在开始使用 Microsoft OneNote 附件传播恶意软件和病毒!-零度博客

威胁行为者现在在网络钓鱼电子邮件中使用 OneNote 附件,用远程访问恶意软件感染受害者,这些恶意软件可用于安装更多恶意软件、窃取密码甚至加密货币钱包。

多年来,攻击者一直在使用恶意 Word 和 Excel 附件在电子邮件中分发恶意软件,这些附件会启动宏来下载和安装恶意软件。

然而,在 7 月,微软终于在 Office 文档中默认禁用了宏,使得这种分发恶意软件的方法变得不可靠。

不久之后,威胁行为者开始使用新的文件格式,例如 ISO 映像和受密码保护的 ZIP 文件。这些文件格式很快变得非常普遍,这得益于允许 ISO 绕过安全警告的 Windows 错误,以及流行的 7-Zip 存档实用程序不会将网络标记传播到从 ZIP 存档中提取的文件。

然而,7-Zip和Windows 最近修复了这些错误,当用户尝试打开下载的 ISO 和 ZIP 文件中的文件时,这些错误会导致 Windows 显示可怕的安全警告。

网络标记传播到 ISO 内的文件
网络标记传播到 ISO 内的文件

威胁行为者并没有被吓倒,而是迅速转向在其恶意垃圾邮件 (malspam) 附件中使用一种新的文件格式:Microsoft OneNote 附件。

滥用 OneNote 附件

Microsoft OneNote是一款桌面数字笔记本应用程序,可免费下载,包含在 Microsoft Office 2019 和 Microsoft 365 中。

由于 Microsoft OneNote 默认安装在所有 Microsoft Office/365 安装中,即使 Windows 用户不使用该应用程序,也仍然可以打开该文件格式。

自 12 月中旬以来,网络安全研究人员警告说,威胁行为者已开始分发包含 OneNote 附件的恶意垃圾邮件。

从发现的样本来看,这些恶意垃圾邮件伪装成 DHL 运输通知、发票、ACH 汇款单、机械图纸和运输文件。

带有 OneNote 附件的假 DHL 电子邮件
带有 OneNote 附件的假 DHL 电子邮件

与 Word 和 Excel 不同的是,OneNote 不支持宏,这是威胁行为者之前启动脚本来安装恶意软件的方式。

相反,OneNote 允许用户将附件插入 NoteBook,双击后将启动附件。

威胁行为者通过附加恶意 VBS 附件滥用此功能,当双击从远程站点下载恶意软件并安装时,该附件会自动启动脚本。

然而,附件在 OneNote 中看起来像一个文件图标,因此攻击者在插入的 VBS 附件上覆盖了一个大的“双击查看文件”栏以隐藏它们。

恶意 OneNote 电子邮件附件
恶意 OneNote 电子邮件附件

当您将“单击以查看文档”栏移开时,您可以看到恶意附件包含多个附件。这行附件使得如果用户双击栏上的任意位置,它将双击附件以启动它。

隐藏的 OneNote 附件
隐藏的 OneNote 附件

值得庆幸的是,在启动 OneNote 附件时,该程序会警告您这样做会损害您的计算机和数据。

但不幸的是,历史告诉我们,这些类型的提示通常被忽略,用户只是点击确定按钮。

OneNote 附件安全警告
OneNote 附件安全警告

单击“确定”按钮将启动 VBS 脚本以下载并安装恶意软件。从发现的其中一个恶意 OneNote VBS 文件中可以看出,该脚本将从远程服务器下载并执行两个文件。

下面显示的第一个是一个诱饵 OneNote 文档,它打开后看起来像您期望的文档。但是,VBS 文件还会在后台执行恶意批处理文件,以在设备上安装恶意软件。

附在 OneNote 附件上的恶意 VB 脚本
附在 OneNote 附件上的恶意 VB 脚本

在看到的恶意垃圾邮件中,OneNote 文件安装了包含信息窃取功能的远程访问木马。

网络安全研究员 James 证实了这一点,他分析的 OneNote 附件安装了 AsyncRAT 和 XWorm 远程访问木马。

看到的 OneNote 附件安装了被检测为 Quasar Remote Access 木马的东西。

防范这些威胁

安装后,这种类型的恶意软件允许威胁行为者远程访问受害者的设备以窃取文件、保存浏览器密码、截取屏幕截图,在某些情况下,甚至可以使用网络摄像头录制视频。

威胁行为者还通常使用远程访问木马从受害者的设备中窃取加密货币钱包,从而使这种感染代价高昂。

保护自己免受恶意附件侵害的最佳方法就是不要打开陌生人的文件。但是,如果您错误地打开文件,请不要忽视操作系统或应用程序显示的警告。

如果您看到打开附件或链接可能会损害您的计算机或文件的警告,请不要按确定并关闭应用程序。

如果您认为它可能是一封合法的电子邮件,请与安全或 Windows 管理员共享它以帮助您验证该文件是否安全。

THE END
喜欢就支持一下吧
点赞6539 分享
相关推荐
评论 抢沙发

请登录后发表评论

    暂无评论内容

将 DDoS 放大 40 亿倍的新方法。会出什么问题?-零度博客

将 DDoS 放大 40 亿倍的新方法。会出什么问题?

研究人员周二警告说,使用大量数据使网站离线的网络犯罪分子正在利用一种前所未有的方法,这种方法有可能将这些洪水的破坏性影响增加前所未有的 40 亿倍。 与许多其他类型的分布式拒绝服务攻击...
admin的头像-零度博客admin
01.5W+2251
DoYourData Recovery Pro – Mac 电脑数据恢复软件[$70→0]-零度博客

DoYourData Recovery Pro – Mac 电脑数据恢复软件[$70→0]

DoYourData Recovery Pro 是一款用于 Mac设备上的数据恢复软件,能够恢复由于误删、格式化、病毒攻击、系统奔溃、操作不当或其他问题产生的数据丢失。 功能介绍 恢复几乎所有格式文件,包括图片...
admin的头像-零度博客admin
1.3W+1528
这5款极品软件!都是老司机必备的工具,每一款都是神器  |  零度解说-零度博客
Cloudflare 解释了为什么 Kiwi Farms 是其有史以来最危险的客户-零度博客

Cloudflare 解释了为什么 Kiwi Farms 是其有史以来最危险的客户

在劳动节周末,最大的在线安全服务提供商之一 Cloudflare 做出了所谓的“危险”决定,阻止访问其最具争议的客户之一,这是一个名为 Kiwi Farms 的日益暴力的另类右翼网络论坛。 这一决定是在为...
admin的头像-零度博客admin
01.6W+2250
推荐6款超实用的免费电脑软件!每一款都是精品!-零度博客

推荐6款超实用的免费电脑软件!每一款都是精品!

1.cRARk 【官网下载】 解压密码:UTF-16 2.Cryptomator 【官网】 3.虚拟位置【官方下载】 4.视频实时去除背景【开源项目】 5.Remotely 远程控制【官网】 6.Ventoy U盘启动制作工具 【下载】 7....
admin的头像-零度博客admin
11.7W+1091
Windows 10 秒变 XP系统!重温经典,流畅度极高,大小只有3.7G!让老旧电脑再次充满活力 | 零度解说-零度博客
电脑实时监控信息:CPU 内存 GPU使用率在桌面上动态展现 | 零度解说-零度博客
Stable Diffusion 一句话生成视频! 本地运行,最稳定的方法!-零度博客

Stable Diffusion 一句话生成视频! 本地运行,最稳定的方法!

1.下载最新版的 Stable-diffusion :【点击下载】或【备用下载 含模型】安装所需的依赖项:Python 3.10.6 和 Git如果你无法全局科学上网,就下载有网友提供的整合包,无需手动配置环境:【链接...
如何在Edge浏览器上使用 ChatGPT  提供最新支持的 Bing-零度博客

如何在Edge浏览器上使用 ChatGPT 提供最新支持的 Bing

微软刚刚发布了由 ChatGPT 提供支持的新版 Bing。 改进后的 Bing 从今天开始提供有限预览。 您可以将您的名字列入等候名单,立即试用新的 Bing。 如果您将 PC 和浏览器设置为默认使用 Microsoft...
admin的头像-零度博客admin
01.3W+6539