Az elmúlt években a támadók rosszindulatú Word és Excel csatolmányokat használtak e-mailen keresztül a malware terjesztésére. De júliusban a Microsoft végre lekapcsolta alapból a makrókat a Office dokumentumokban, így ez a módszer már nem biztonságos a malware továbbadására. Mostanában azonban azt látjuk, hogy a támadók a OneNote csatolmányokat használják a phishing e-mailekben, amiknek célpontjai vírusokat kaphatnak, azok pedig további malware-t telepíthetnek, jelszavakat lophatnak, vagy akár kriptopénztárcáinkat is megszerezhetik.
A rosszfiúk hamarosan új fájlformátumokat kezdtek használni, mint például ISO képek és jelszóval védett ZIP fájlok. Ezek a fájlformátumok hamarosan nagyon népszerűvé váltak, amit a Windows hibája segített, ez pedig lehetővé tette az ISO biztonsági figyelmeztetések kikerülését, valamint a népszerű 7-Zip tömörítőprogram nem terjesztette a „mark-of-the-web” jelzést a ZIP archívumból kicsomagolt fájlokra.
Azonban a 7-Zip és a Windows most megjavította ezeket a hibákat, ami azt eredményezi, hogy a Windows ijesztő biztonsági figyelmeztetést jelenít meg, amikor a felhasználó megpróbálja megnyitni a letöltött ISO- és ZIP-fájlokat.
Fertőzött fájl ISO képfájlon belül
Forrás: BleepingComputer
Az Microsoft OneNote alapból minden Microsoft Office/365 telepítéssel érkezik, így még ha a Windows-felhasználó nem használja is az alkalmazást, akkor is nyitható a fájlformátum.
December közepétől a Trustwave SpiderLabs figyelmeztetett, hogy a támadók rosszindulatú spam e-maileket kezdtek el terjeszteni OneNote csatolmányokkal.
A BleepingComputer által talált minták alapján ezek a malspam e-mailek DHL szállítási értesítésnek, számlának, ACH kifizetési formoknak, mechanikai rajzoknak és szállítási dokumentumoknak próbálják álcázni magukat.
Forrás: BleepingComputer
A Worddel és Excellel ellentétben a OneNote nem támogatja a makrókat, amivel korábban a támadók bevették a scripteket a malware telepítéséhez.
Ehelyett a OneNote lehetővé teszi a felhasználók számára, hogy mellékleteket illesszenek be egy NoteBook-ba, amelyekre dupla kattintással lehet indítani a mellékletet.
A támadók veszélyes VBS mellékletekkel kihasználják ezt a funkciót, amelyek automatikusan elindítják a scriptet, dupla kattintás után megtörténik a letöltés és a telepítés a távoli oldalról.
A mellékletek a OneNote-ban egy fájl ikonjának néznek ki, így a fenyegető szereplők egy nagy „Dupla kattintás a fájl megtekintéséhez” sávot helyeznek el a beillesztett VBS mellékletek felett, hogy elrejtsék őket.
Forrás: BleepingComputer
Szerencsére, amikor elindítod a OneNote mellékleteket, a program figyelmeztet, hogy ez károsíthatja a számítógépedet és adataidat.
De sajnos az elmúlt idők bemutatták, hogy ezeket a fajta üzeneteket gyakran figyelmen kívül hagyják a felhasználók és egyszerűen megnyomják a OK gombot.
Forrás: BleepingComputer
A veszélyek elleni védekezésről:
Ha ez a fajta malware befészkelte magát, akkor a támadók távolról is hozzáférhetnek a sértett eszközéhez, hogy ellopják a fájlokat, az elmentett böngészőjelszavakat, képernyőképeket készítsenek, és néhány esetben még webkamera segítségével videót is rögzítsenek.
A támadók gyakran használnak távoli hozzáférésű trójaiakat is, hogy ellopják a sértett eszközeinek kriptopénztárcáit, ez pedig drága fertőzés lehet.
A rosszindulatú mellékletek elleni védekezés legjobb módja, ha egyszerűen nem nyitsz meg fájlokat ismeretlen emberektől. Ha azonban véletlenül megnyitottál egy fájlt, ne hagyd figyelmen kívül az operációs rendszer vagy az alkalmazás által megjelenített figyelmeztetéseket.
Ha figyelmeztetést kapsz, hogy egy melléklet vagy hivatkozás veszélyt jelenthet a számítógépedre vagy fájljaidra, egyszerűen ne nyomd meg az OK gombot és zárd be az alkalmazást.