警惕!黑客现在开始使用 Microsoft OneNote 附件传播恶意软件和病毒!-零度博客

警惕!黑客现在开始使用 Microsoft OneNote 附件传播恶意软件和病毒!

图片[1]-警惕!黑客现在开始使用 Microsoft OneNote 附件传播恶意软件和病毒!-零度博客

威胁行为者现在在网络钓鱼电子邮件中使用 OneNote 附件,用远程访问恶意软件感染受害者,这些恶意软件可用于安装更多恶意软件、窃取密码甚至加密货币钱包。

多年来,攻击者一直在使用恶意 Word 和 Excel 附件在电子邮件中分发恶意软件,这些附件会启动宏来下载和安装恶意软件。

然而,在 7 月,微软终于在 Office 文档中默认禁用了宏,使得这种分发恶意软件的方法变得不可靠。

不久之后,威胁行为者开始使用新的文件格式,例如 ISO 映像和受密码保护的 ZIP 文件。这些文件格式很快变得非常普遍,这得益于允许 ISO 绕过安全警告的 Windows 错误,以及流行的 7-Zip 存档实用程序不会将网络标记传播到从 ZIP 存档中提取的文件。

然而,7-Zip和Windows 最近修复了这些错误,当用户尝试打开下载的 ISO 和 ZIP 文件中的文件时,这些错误会导致 Windows 显示可怕的安全警告。

网络标记传播到 ISO 内的文件
网络标记传播到 ISO 内的文件

威胁行为者并没有被吓倒,而是迅速转向在其恶意垃圾邮件 (malspam) 附件中使用一种新的文件格式:Microsoft OneNote 附件。

滥用 OneNote 附件

Microsoft OneNote是一款桌面数字笔记本应用程序,可免费下载,包含在 Microsoft Office 2019 和 Microsoft 365 中。

由于 Microsoft OneNote 默认安装在所有 Microsoft Office/365 安装中,即使 Windows 用户不使用该应用程序,也仍然可以打开该文件格式。

自 12 月中旬以来,网络安全研究人员警告说,威胁行为者已开始分发包含 OneNote 附件的恶意垃圾邮件。

从发现的样本来看,这些恶意垃圾邮件伪装成 DHL 运输通知、发票、ACH 汇款单、机械图纸和运输文件。

带有 OneNote 附件的假 DHL 电子邮件
带有 OneNote 附件的假 DHL 电子邮件

与 Word 和 Excel 不同的是,OneNote 不支持宏,这是威胁行为者之前启动脚本来安装恶意软件的方式。

相反,OneNote 允许用户将附件插入 NoteBook,双击后将启动附件。

威胁行为者通过附加恶意 VBS 附件滥用此功能,当双击从远程站点下载恶意软件并安装时,该附件会自动启动脚本。

然而,附件在 OneNote 中看起来像一个文件图标,因此攻击者在插入的 VBS 附件上覆盖了一个大的“双击查看文件”栏以隐藏它们。

恶意 OneNote 电子邮件附件
恶意 OneNote 电子邮件附件

当您将“单击以查看文档”栏移开时,您可以看到恶意附件包含多个附件。这行附件使得如果用户双击栏上的任意位置,它将双击附件以启动它。

隐藏的 OneNote 附件
隐藏的 OneNote 附件

值得庆幸的是,在启动 OneNote 附件时,该程序会警告您这样做会损害您的计算机和数据。

但不幸的是,历史告诉我们,这些类型的提示通常被忽略,用户只是点击确定按钮。

OneNote 附件安全警告
OneNote 附件安全警告

单击“确定”按钮将启动 VBS 脚本以下载并安装恶意软件。从发现的其中一个恶意 OneNote VBS 文件中可以看出,该脚本将从远程服务器下载并执行两个文件。

下面显示的第一个是一个诱饵 OneNote 文档,它打开后看起来像您期望的文档。但是,VBS 文件还会在后台执行恶意批处理文件,以在设备上安装恶意软件。

附在 OneNote 附件上的恶意 VB 脚本
附在 OneNote 附件上的恶意 VB 脚本

在看到的恶意垃圾邮件中,OneNote 文件安装了包含信息窃取功能的远程访问木马。

网络安全研究员 James 证实了这一点,他分析的 OneNote 附件安装了 AsyncRAT 和 XWorm 远程访问木马。

看到的 OneNote 附件安装了被检测为 Quasar Remote Access 木马的东西。

防范这些威胁

安装后,这种类型的恶意软件允许威胁行为者远程访问受害者的设备以窃取文件、保存浏览器密码、截取屏幕截图,在某些情况下,甚至可以使用网络摄像头录制视频。

威胁行为者还通常使用远程访问木马从受害者的设备中窃取加密货币钱包,从而使这种感染代价高昂。

保护自己免受恶意附件侵害的最佳方法就是不要打开陌生人的文件。但是,如果您错误地打开文件,请不要忽视操作系统或应用程序显示的警告。

如果您看到打开附件或链接可能会损害您的计算机或文件的警告,请不要按确定并关闭应用程序。

如果您认为它可能是一封合法的电子邮件,请与安全或 Windows 管理员共享它以帮助您验证该文件是否安全。

© 版权声明
THE END
喜欢就支持一下吧
点赞6539 分享
开源AI人脸替换工具离线版V3.0 整合包下载!-零度博客

开源AI人脸替换工具离线版V3.0 整合包下载!

  无需配置任何环境,解压后即可使用,只需一张人脸图片,就可以把视频中的人脸换成你需要人物。无任何使用门槛,支持CPU和GPU解码! 1.AI人脸替换工具离线版V3.0 整合包:【国外网盘】、...
admin的头像-零度博客黄金会员admin
3.4W+2182
Linux Mint 22 正式发布!Windows 使用者的理想替代品 - 免费、流畅、开源的电脑系统 | 零度解说-零度博客

Linux Mint 22 正式发布!Windows 使用者的理想替代品 – 免费、流畅、开源的电脑系统 | 零度解说

https://youtu.be/SJrU2_xjon0   Linux Mint 22 最新版下载:https://www.freedidi.com/13197.html 3 款免费实用的U盘制作工具:https://www.freedidi.com/13205.html
从互联网上删除自己的 6 种方法 !| 零度解说-零度博客
不想升级Win11?教你彻底锁定更流畅的 Windows 10 系统!附下载地址 | 零度解说-零度博客
Windows 11 正式版官方下载,Win11 安装助手一步搞定升级-零度博客

Windows 11 正式版官方下载,Win11 安装助手一步搞定升级

Windows 11 微软官方下载链接:https://www.microsoft.com/zh-cn/software-download/windows11   如果因为主板缺少tpm模块,可以看这个教程:https://www.freedidi.com/2213.html 即可轻松...
admin的头像-零度博客黄金会员admin
1.1W+652
Notion 添加中文语言!实现全平台的汉化教程!支持客户端、网页版、手机端等 | 零度解说-零度博客
HttpGuard 防御CC攻击!效果非常不错,完全免费开源-零度博客

HttpGuard 防御CC攻击!效果非常不错,完全免费开源

HttpGuard 下载链接:【网盘下载】、【百度网盘】 Lua 开启防御代码 lua_package_path “/usr/local/nginx/conf/waf/?.lua”; lua_shared_dict limit 10m; init_by_lua_file /usr/local/nginx/c...
admin的头像-零度博客黄金会员admin
2W+2176
显卡价格“大跳水” !是否预示着显卡挖矿已经没有什么出路?你该如何选择 | 零度解说-零度博客
免费获取Clubhouse邀请码的电报群(不断更新)-零度博客

免费获取Clubhouse邀请码的电报群(不断更新)

  获取邀请码之前请务必先注册Clubhouse 注册教程 https://youtu.be/d4Jl5_Q8skQ   按视频中演示的先注册一个Clubhouse的用户   然后进入到下面这个电报群里获取邀请码 进入下面...