Emotet, Qakbot, Remote Access Trojan (RAT) - mi a közös bennük? - Mindegyiket Microsoft Office OneNote fájlokon keresztül juttatták el.
Amikor a Microsoft 2022-ben alapértelmezés szerint letiltotta a makrókat, a támadók áttértek a nem makróalapú átviteli mechanizmusok használatára - és a szerény OneNote-fájl tökéletes helyettesítője volt.
Are OneNote Files Secure?
A OneNote a Microsoft Office csomag egyik népszerű termelékenységi alkalmazása, amelyet világszerte milliók használnak. Sokoldalúsága miatt a OneNote a jegyzetelés, az információkezelés és sajnos a rosszindulatú programok terjesztésének kényelmes eszközévé vált.
A OneNote egy saját fájltípust használ, amelyet a .one fájlkiterjesztés jelöl, és amely lehetővé teszi a felhasználók számára, hogy gazdag szöveggel, digitális kézírással és objektumokkal - beleértve a képeket és a multimédiát - formázzák a jegyzeteket. Bár a OneNote-fájlok nem rosszindulatúak, a hackerek kihasználják összetettségüket, hogy rosszindulatú parancsokat ágyazva a fájlba rosszindulatú programokat juttassanak el. Ezek a parancsok rosszindulatú szoftvereket tölthetnek le a felhasználó eszközére, ami olyan pusztító következményekkel járhat, mint az adatvesztés, a veszélyeztetett eszközök, a személyazonosság-lopás vagy a pénzügyi csalás.
A OneNote egyre népszerűbb és elérhetőbb, sajnos az emberek nincsenek tisztában a biztonsági kockázatokkal. Ez a tudatlanság megkönnyíti a támadók számára, hogy rosszindulatú parancsokat ágyazzanak be a OneNote-fájlokba, és rávegyék a felhasználókat, hogy rosszindulatú programokat telepítsenek.
Támadási technikák: OneNote malware terjesztési kampányok
A fenyegető szereplők különböző social engineering technikákat használnak a OneNote fájlokat használó rosszindulatú programok terjesztésére. A trükkök általában e-mailes adathalászatot és a rosszindulatú hasznos teher legitim OneNote-összetevő alá történő álcázását foglalják magukban.
Képek
Biztonsági kutatók 2023 februárjában azonosítottak egy kampányt, amely egy rosszindulatú képet használ a Qakbot (más néven QBot) kártevő terjesztésére. A támadók becsapták a felhasználókat, hogy duplán kattintsanak a OneNote-dokumentum egy tervezési elemére. Amikor a célpont duplán kattintott az elemre, egy beágyazott fájl egy sor parancsot hajtott végre, amelyek letöltötték és telepítették a kártevőt a céleszközre. Ez a kampány egy példa arra, hogy a támadók OneNote-fájlokon keresztül csalogatják a gyanútlan felhasználókat, hogy rosszindulatú szoftvereket töltsenek le a rendszerükre.
Példakép arról, hogy a támadók hogyan rejthetnek el egy rosszindulatú szkriptet egy üzenet alá a OneNote-ban
Csatolt fájlok és e-mail adathalász kampány
Egy másik kampányban a támadók válaszlánc e-maileket küldtek rosszindulatú OneNote-mellékletekkel, amelyeket legitim dokumentumoknak (pl. útmutatók, számlák és egyéb dokumentumok) álcáztak. A fentiekhez hasonló technikát alkalmazva a támadók egy erősen elkendőzött VBScriptet rejtettek el ezekben a mellékletekben, amely végrehajtásakor az Emotet kártevőt töltötte le és telepítette az áldozat eszközére dinamikus linkkönyvtárként (DLL). Az Emotet malware rendkívül veszélyes, mivel csendben fut a megtámadott eszközön, bizalmas információkat (e-maileket, kapcsolatokat) lop el, vagy a vezérlő szerverről vár parancsokat, például további hasznos terhek letöltését.
A OneNote-támadásokra válaszul a Microsoft 2023 áprilisában a 2304-es verziószámú, veszélyes kiterjesztésű beágyazott fájl megnyitását blokkolta a felhasználók számára. A OneNote megjelenít egy párbeszédpanelt, amely korlátozza a felhasználó lehetőségét a fájl megnyitására, de a felhasználó az "OK" gombra kattintva továbbra is meg tudja nyitni a fájlt.
Beágyazott hiperhivatkozások
A csatolt fájlok kihasználása mellett a támadók a OneNote-fájlokban található URL-címeket, hiperlinkeket vagy képeket is felhasználhatják rosszindulatú programok terjesztésére. A social engineering taktikájuk változó, de a végső cél az, hogy az áldozat rosszindulatú hasznos terhet hajtson végre.
A OneNote rosszindulatú szoftverek átadásának megakadályozása a tartalom hatástalanításával és rekonstrukciójával
OPSWAT Deep Content Disarm and Reconstruction (Deep CDR ) technológia minden fájlt és fájlkomponenst potenciális fenyegetésként kezel. Amikor olyan összetett fájlokkal foglalkozunk, mint a OneNote, fontos, hogy biztosítsuk, hogy nincsenek a szem elől elrejtett rosszindulatú összetevők - legyen az egy kép mögé rejtett szkript, egy álcázott hiperlink vagy a jegyzetfüzet egyik lapján elrejtett rosszindulatú program. Ismerje meg a Deep CDR által támogatott összes fájltípust.
A Deep CDR megvizsgálja a OneNote-fájlt és annak minden mellékletét, képét vagy egyéb összetevőjét. Ezután rekurzív módon szanálja őket, és eltávolítja a potenciálisan rosszindulatú tartalmakat. Ugyanebben a vizsgálatban az OPSWAT Metascan technológia több vírusirtó motort is felhasznál a fájlban lévő rosszindulatú programok felderítésére.
Deep CDR rosszindulatú objektumot észlel a OneNote fájlban
Végül a Deep CDR egy biztonságos, rosszindulatú objektumoktól mentes OneNote fájlt hoz létre, megtartva a fájl eredeti funkcionalitását. A Deep CDR eltávolítja az összes ismert és ismeretlen fenyegetést, így a fájl biztonságosan használható.
Az alábbiakban a MetaDefender Core keresési eredményét olvashatja:
A Deep CDR által regenerált fájl biztonságosan használható.
Egy utolsó megjegyzés: Legjobb gyakorlatok a fájlok védelmére
A OneNote fájlokkal visszaélő kibertámadások megelőzése érdekében fontolja meg a következő biztonsági intézkedések végrehajtását:
- Legyen óvatos az e-mailekkel és a csatolmányokkal: Legyen óvatos, ha OneNote-mellékleteket tartalmazó e-maileket kap, különösen ismeretlen vagy gyanús feladóktól. Ha a forrás nem ellenőrzött vagy gyanúsnak tűnik, ne nyissa meg a mellékletet.
- Tartsa naprakészen a szoftvert: A hackerek gyakran kihasználják a szoftveralkalmazások sebezhetőségeit, hogy rosszindulatú programokat telepítsenek az eszközökre. Bár a Microsoft folyamatosan javította a sebezhetőségek kihasználásával szembeni védelmet, a kibertámadók még mindig célba vehetik azokat a szervezeteket, amelyek régebbi, javítatlan szoftververziókat használnak. Ennek leküzdése érdekében tartsa naprakészen az operációs rendszert, a vírusirtó szoftvert és az összes releváns alkalmazást. A szoftverfrissítések rendszeres alkalmazása biztosítja a rendszer védelmét az ismert sebezhetőségekkel szemben.
- Legyen óvatos a OneNote-fájlokon belüli hivatkozásokkal: Hasonlóan az e-mail mellékletekhez, legyen óvatos a OneNote fájlokban található linkek megnyitásakor. Ezek a hivatkozások rosszindulatú webhelyekre vezethetnek, amelyek rosszindulatú szoftverekkel fertőzhetik meg az eszközt. Csak megbízható forrásból származó linkeket nyisson meg, és győződjön meg arról, hogy a meglátogatott webhely legitim és biztonságos.
- Vírusvédelem: Használjon jó hírű vírusirtó szoftvert, hogy minden bejövő fájlt átvizsgáljon ismert és ismeretlen rosszindulatú programok után. A hatékonyság növelése érdekében több vírusirtó motor használata növeli a rosszindulatú programok felismerési arányát az egyetlen motor használatához képest. Ismerje meg az OPSWAT többszörös víruskeresési technológiát.
- Távolítson el minden potenciálisan rosszindulatú objektumot: Biztonsági intézkedések, mint például Deep CDR segítenek a szervezeteknek megvédeni magukat a fejlett és kitérő rosszindulatú technológiák ellen, beleértve az ismert és ismeretlen fenyegetéseket, a nulladik napi fenyegetéseket, valamint a felderíthetetlen és elkendőzött rosszindulatú programokat. Minden fájl potenciális fenyegetésként való kezelése csökkenti a káros kód véletlenszerű futtatásának kockázatát.
Ha többet szeretne megtudni az OPSWAT fenyegetésfelismerő és -megelőző technológiákról, forduljon műszaki szakértőnkhöz.
Kapcsolatfelvétel szakértőinkkel
