Los atacantes ahora están usando archivos adjuntos de OneNote, los
cuales infectan a las víctimas con malware de acceso remoto que, a su vez, se
puede usar para instalar más malware, robar contraseñas o incluso billeteras
de criptomonedas.
En julio,
Microsoft finalmente deshabilitó las macros
de forma predeterminada en los documentos de Office, lo que hizo que este
método no fuera confiable para distribuir malware. Poco después, los actores
de amenazas comenzaron a utilizar nuevos formatos de archivo, como imágenes
ISO y archivos ZIP protegidos con contraseña.
Estos formatos de archivo pronto se volvieron extremadamente comunes, con la
ayuda de un error de Windows que permitía a los ISO eludir las advertencias de
seguridad y la popular utilidad de archivo 7-Zip que no propagaba las marcas
de marca de la web (mark-of-the-web) a los archivos extraídos.
Sin embargo,
tanto 7-Zip
como
Windows corrigieron recientemente estos errores y muestran advertencias de seguridad cuando un usuario
intenta abrir archivos ISO y ZIP descargados desde Internet.
Para no desanimarse, los actores de amenazas cambiaron rápidamente y
comenzaron a usar un nuevo formato de archivo en sus archivos adjuntos
(malspam): archivos adjuntos de Microsoft OneNote (extensión .ONE).
Los documentos de OneNote pueden venir como archivos adjuntos en el propio
email u ocultos tras un gráfico, de tal modo que cuando el usuario hace doble
clic sobre el archivo incrustado recibe una advertencia, pero si aún así desea
continuar, entonces el archivo se ejecutará y comenzará la operación para los
hackers. Pueden ser archivos de acceso directo (LNK), archivos de secuencia de
comandos,
aplicaciones HTML (HTA)
o archivos de secuencia de comandos de Windows (WSF). Aquí se puede ver un archivo .ONE en funcionamiento y
otro.
Abusar de los archivos adjuntos de OneNote
Microsoft
OneNote es una aplicación de escritorio
que se puede descargar de forma gratuita y está incluida en Microsoft Office
2019 y Microsoft 365.
Como Microsoft OneNote se instala de manera predeterminada en todas las
instalaciones de Microsoft Office/365, incluso si un usuario de Windows no usa
la aplicación, todavía está disponible para abrir el formato de archivo
(desconocido hasta ahora).
Desde mediados de diciembre,
Trustwave SpiderLabs advirtió
que los actores de amenazas
habían comenzado a distribuir correos electrónicos
no deseados maliciosos que contenían
archivos adjuntos de OneNote. A partir de muestras encontradas, estos correos electrónicos maliciosos
pretenden ser notificaciones de envío de DHL, facturas, formularios de envío
de ACH, gráficos, y documentos de envíos, multas, etc.
A diferencia de Word y Excel, OneNote no admite macros, que es como los
actores de amenazas lanzaban previamente scripts para instalar malware.
En cambio,
OneNote permite a los usuarios insertar archivos adjuntos en un cuaderno
que, al hacer doble clic, iniciará el archivo adjunto.
Los actores de amenazas abusan de esta función al adjuntar archivos adjuntos
con VBS/JS maliciosos que inician automáticamente el script cuando se
hace doble clic y descargan malware desde un sitio remoto.
Sin embargo, los archivos adjuntos se ven como el ícono de un archivo en
OneNote, por lo que los actores de amenazas superponen una gran barra de
‘Doble clic para ver el archivo’ sobre los archivos adjuntos VBS/JS
para ocultarlos.
Cuando mueve la barra, se puede ver que el archivo adjunto malicioso incluye
varios archivos. Esta fila de archivos adjuntos hace que si un usuario hace
doble clic en cualquier lugar de la barra, en realidad está haciendo clic en
el archivo adjunto para iniciarlo. Afortunadamente, al iniciar los archivos
adjuntos de OneNote, el programa le advierte que hacerlo puede dañar su
computadora y sus datos. Lamentablemente, la historia nos ha demostrado que
este tipo de avisos suelen ignorarse y los usuarios simplemente hacen clic en
el botón Aceptar.
Al hacer clic en el botón Aceptar, se iniciará el script VBS/JS para descargar
e instalar malware. Como puede ver en uno de los archivos
VBS maliciosos de OneNote encontrados por BleepingComputer, el script descargará y ejecutará dos archivos desde un servidor remoto.
El primero que se muestra a continuación es un documento señuelo de OneNote
que se abre y se ve como el documento que esperaba. Sin embargo, el archivo
VBS también ejecutará un archivo por lotes malicioso en segundo plano para
instalar malware en el dispositivo.
En los correos electrónicos maliciosos vistos, los archivos de OneNote
instalan troyanos de acceso remoto que incluyen funcionalidad para robar
información. El investigador de ciberseguridad James confirmó que los archivos
adjuntos de OneNote que analizó instalaron los troyanos de acceso remoto
AsyncRAT, XWorm,
Quasar Remote Access y
QakBot.
Recomendaciones
Se recomienda activar una
regla ASR
«Block all Office applications from creating child processes»
para bloquear archivos
«hta/vbs/wsf» y
activar las reglas por defecto en Outlook.
Volexity ha publicado una
herramienta para analizar archivos .ONE.
Fuente:
BC
Los comentarios están cerrados.