Cibercriminosos estão usando o OneNote para espalhar malwares. Eles estaria usando anexos do OneNote em e-mails de phishing que infectam vítimas com malware de acesso remoto. Nsse novo golpe elaborado pelos cibercriminosos, ao implantar um malware via phishing, eles podem instalar outros malwares, roubar senhas ou até mesmo carteiras de criptomoedas.
Malware sendo distribuído via phishing usando anexos do OneNote
Os invasores distribuem malware em e-mails usando anexos maliciosos do Word e do Excel que iniciam macros para baixar e instalar malware há anos. No entanto, em julho, a Microsoft finalmente desativou as macros por padrão nos documentos do Office, tornando esse método não confiável para distribuição de malware. Logo depois, os agentes de ameaças começaram a utilizar novos formatos de arquivo, como imagens ISO e arquivos ZIP protegidos por senha.
Esses formatos de arquivo logo se tornaram extremamente comuns, auxiliados por uma falha do Windows que permitia que os ISOs contornassem os avisos de segurança e o popular utilitário de arquivamento 7-Zip não propagasse sinalizadores de marca da web para arquivos extraídos de arquivos ZIP.
No entanto, tanto o 7-Zip quanto o Windows corrigiram recentemente essas falhas, fazendo com que o Windows exibisse avisos de segurança assustadores quando um usuário tenta abrir arquivos em arquivos ISO e ZIP baixados.
Assim, os cibercriminosos rapidamente passaram a usar um novo formato de arquivo em seus anexos de spam mal-intencionados (malspam): anexos do Microsoft OneNote.
Abusando de anexos do OneNote
O Microsoft OneNote é um aplicativo de notebook digital para desktop que pode ser baixado gratuitamente e está incluído no Microsoft Office 2019 e no Microsoft 365. Como ele é instalado por padrão em todas as instalações do Microsoft Office/365, mesmo que um usuário do Windows não use o aplicativo, ele ainda estará disponível para abrir o formato de arquivo.
Desde meados de dezembro, os pesquisadores de segurança cibernética alertaram que cibercriminosos começaram a distribuir e-mails de spam maliciosos contendo anexos do OneNote. A partir de amostras encontradas pelo BleepingComputer, esses e-mails malspam fingem ser notificações de remessa da DHL, faturas, formulários de remessa ACH, desenhos mecânicos e documentos de remessa.
Ao contrário do Word e do Excel, o OneNote não oferece suporte a macros, que é como os agentes de ameaças lançavam scripts anteriormente para instalar malware. Em vez disso, o OneNote permite que os usuários insiram anexos em um NoteBook que, quando clicado duas vezes, iniciará o anexo.
Os cibercriminosos estão abusando desse recurso anexando anexos VBS maliciosos que iniciam automaticamente o script quando clicado duas vezes para baixar malware de um site remoto e instalá-lo. Em e-mails malspam vistos pelo BleepingComputer, os arquivos do OneNote instalam trojans de acesso remoto que incluem a funcionalidade de roubo de informações.