Operadores de ameaças passaram a usar anexos do OneNote da Microsoft em e-mails de phishing que infectam vítimas com malware de acesso remoto e que pode ser usado para instalar outros malwares, roubar senhas ou até mesmo carteiras de criptomoedas. Isso ocorre após os invasores distribuírem malware em e-mails usando anexos maliciosos do Word e do Excel, que iniciam macros para baixar e instalar malware há anos.
No entanto, em julho, a Microsoft finalmente desativou as macros por padrão nos documentos do Office, tornando esse método não confiável para distribuição de malware. Logo depois, operadores de ameaças começaram a utilizar novos formatos de arquivo, como imagens ISO e arquivos ZIP protegidos por senha. Esses formatos de arquivo logo se tornaram extremamente comuns, auxiliados por um bug do Windows que permitia que os arquivos ISOs contornassem os avisos de segurança e o popular utilitário de arquivamento 7-Zip não propagasse sinalizadores de marca da web para arquivos extraídos de arquivos ZIP.
No entanto, tanto o 7-Zip quanto o Windows corrigiram recentemente esses bugs, fazendo com que o Windows exibisse avisos de segurança assustadores quando um usuário tenta abrir arquivos em arquivos ISO e ZIP baixados. Para não serem dissuadidos, os hackers rapidamente passaram a usar um novo formato de arquivo em seus anexos de spam mal-intencionados (malspam): anexos do Microsoft OneNote.
O Microsoft OneNote é um aplicativo de notebook digital para desktop que pode ser baixado gratuitamente e está incluído no Microsoft Office 2019 e no Microsoft 365. Como ele é instalado por padrão em todas as instalações do Office 365, mesmo que um usuário do Windows não use o aplicativo, ele ainda estará disponível para abrir o formato de arquivo.
Desde meados de dezembro, os pesquisadores de segurança cibernética alertaram que operadores de ameaças começaram a distribuir e-mails de spam maliciosos contendo anexos do OneNote.
A partir de amostras encontradas pelo BleepingComputer, esses e-mails malspam fingem ser notificações de remessa da DHL, faturas, formulários de remessa ACH, desenhos mecânicos e documentos de remessa. Ao contrário do Word e do Excel, o OneNote não oferece suporte a macros, que é como os operadores de ameaças lançavam scripts anteriormente para instalar malware. Em vez disso, o OneNote permite que os usuários insiram anexos em um NoteBook que, quando clicado duas vezes, iniciará o anexo.
Hackers estão explorando esse recurso anexando anexos VBS maliciosos que iniciam automaticamente o script quando clicado duas vezes para baixar malware de um site remoto e instalá-lo. Os anexos se parecem com o ícone de um arquivo no OneNote, então os operadores da ameaça sobrepõem uma grande barra ‘Clique duas vezes para visualizar o arquivo’ sobre os anexos do VBS inseridos para ocultá-los. Ao mover a barra Clique para visualizar o documento para fora do caminho, você pode ver que o anexo malicioso inclui vários anexos. Essa linha de anexos faz com que, se um usuário clicar duas vezes em qualquer lugar da barra, ele clicará duas vezes no anexo para iniciá-lo.
Felizmente, ao iniciar os anexos do OneNote, o programa avisa que isso pode danificar seu computador e seus dados. Mas, infelizmente, a história nos mostrou que esses tipos de prompts são comumente ignorados e os usuários apenas clicam no botão OK.