Logiciel malveillant OneNote

Des acteurs malveillants utilisent des pièces jointes Microsoft OneNote dans des e-mails de phishing pour diffuser des logiciels malveillants. Ces pièces jointes non sécurisées contiennent des logiciels malveillants d'accès à distance qui peuvent être utilisés pour installer des charges utiles nuisibles supplémentaires ou collecter des mots de passe. Pendant des années, les attaquants ont envoyé des documents Word et Excel militarisés par e-mail, qui lancent des macros pour télécharger et installer le logiciel malveillant. Cependant, la décision de Microsoft de bloquer automatiquement les macros sur les documents MS Office a probablement amené les pirates à abuser de OneNote à la place. Désormais, ils modifient les documents au format légitime en les incorporant à un contenu virulent, ce qui déclenche le processus de téléchargement/d'installation du logiciel malveillant lorsqu'il interagit avec lui.

Des charges utiles menaçantes se propagent via des fichiers OneNote infectés par des chevaux de Troie

Les fichiers OneNote contenant des logiciels malveillants sont généralement diffusés par le biais de campagnes de spam, soit sous forme de pièces jointes, soit via des liens de téléchargement. Deux des menaces malveillantes observées comme étant déployées de cette manière incluent le cheval de Troie bancaire Qakbot et le RedLine Stealer . Qakbot cible les informations liées aux finances et pourrait déclencher des infections en chaîne, tandis que le RedLine Stealer est conçu pour extraire les données sensibles des appareils infectés.

Les e-mails de spam utilisés pour distribuer ces fichiers OneNote compromis sont généralement impersonnels, seuls certains des e-mails de spam mentionnant le nom de famille du destinataire dans leurs lignes d'objet. Les fichiers OneNote contiennent une application HTML (fichier HTA) intégrée qui, une fois cliquée, tirerait parti d'une application légitime pour télécharger et installer la menace malveillante. Il convient de souligner que la charge utile livrée peut varier en fonction des objectifs spécifiques des acteurs de la menace. Un autre fait notable est que pour que la chaîne d'infection commence, les utilisateurs doivent interagir et ouvrir les documents OneNote livrés.

Soyez prudent lorsque vous traitez des e-mails et des fichiers inconnus

Étant donné que les fichiers OneNote sont devenus une cible populaire pour les acteurs mal intentionnés en raison de leur capacité à être intégrés avec du contenu dangereux, les utilisateurs doivent redoubler de prudence. Les cybercriminels utilisent généralement des tactiques d'ingénierie sociale pour inciter les victimes sans méfiance à cliquer sur le contenu intégré, telles que de faux boutons qui semblent télécharger le fichier à partir du stockage en nuage ou "Double-cliquez pour afficher le fichier". En cas de succès, cela pourrait entraîner la propagation de tout type de logiciel malveillant, en fonction des capacités du programme et des intentions des attaquants. En tant que tels, les utilisateurs doivent être conscients de ces menaces potentielles et prendre des mesures pour s'en protéger.