Hackers están usando archivos adjuntos de Microsoft OneNote para propagar malware
Los atacantes ahora están usando archivos adjuntos de OneNote en correos electrónicos de phishing. Los correos infectan a las víctimas con malware de acceso remoto que se puede usar para instalar más malware, robar contraseñas o incluso billeteras de criptomonedas.
Esto ocurre después de que los atacantes han estado distribuyendo malware en correos electrónicos utilizando archivos adjuntos maliciosos de Word y Excel que ejecutan macros para descargar e instalar malware. La técnica fue utilizada durante años.
Sin embargo, en julio, Microsoft finalmente deshabilitó los macros de forma predeterminada en los documentos de Office, lo que hizo que este método no fuera confiable para distribuir malware.
Poco después, los atacantes comenzaron a utilizar nuevos formatos de archivo, como imágenes ISO y archivos ZIP protegidos con contraseña. Estos formatos de archivo pronto se volvieron extremadamente comunes, con la ayuda de un error de Windows que permitía a los ISO eludir las advertencias de seguridad y la popular utilidad de archivo 7-Zip que no propagaba los indicadores de mark-of-the-web a los archivos extraídos de los archivos ZIP.
Sin embargo, tanto 7-Zip como Windows corrigieron recientemente estos errores que causaban que Windows mostrara alarmantes advertencias de seguridad cuando un usuario intentaba abrir archivos en archivos ISO y ZIP descargados.
Para no desanimarse, los atacantes cambiaron rápidamente a usar un nuevo formato de archivo en sus archivos adjuntos de spam malicioso (malspam). Actualmente están usando archivos adjuntos de Microsoft OneNote.
Abusando de los archivos adjuntos de OneNote
Microsoft OneNote es una aplicación de agenda digital que se puede descargar de forma gratuita y está incluida en Microsoft Office 2019 y Microsoft 365.
Como Microsoft OneNote se instala de manera predeterminada en todas las instalaciones de Microsoft Office/365, incluso si un usuario de Windows no usa la aplicación, todavía está disponible para abrir el formato de archivo.
Desde mediados de diciembre, investigadores de ciberseguridad advirtieron que los atacantes habían comenzado a distribuir correos electrónicos no deseados maliciosos. Estos correos maliciosos contenían archivos adjuntos de OneNote.
A partir de muestras encontradas por investigadores, estos correos electrónicos maliciosos pretenden ser notificaciones de envío de DHL, facturas, formularios de envío de ACH, dibujos técnicos y documentos de envío.
A diferencia de Word y Excel, OneNote no admite macros, que es como los ciberdelincuentes lanzaban previamente scripts para instalar malware.
En cambio, OneNote permite a los usuarios insertar archivos adjuntos en un cuaderno que, al hacer doble clic, inicia el archivo adjunto.
Los ciberdelincuentes abusan de esta función al adjuntar archivos VBS maliciosos que inician automáticamente el script cuando se hace doble clic. Esta acción permite descargar e instalar malware desde un sitio remoto.
Sin embargo, los archivos adjuntos se ven como el ícono de un archivo en OneNote, por lo que los atacantes superponen una gran barra de ‘Doble clic para ver el archivo’ sobre los archivos adjuntos VBS insertados para ocultarlos.
Cuando mueves la barra Haz clic para ver el documento, puedes ver que el archivo adjunto malicioso incluye varios archivos adjuntos. Esta fila de archivos adjuntos hace que si un usuario hace doble clic en cualquier lugar de la barra, hará doble clic en el archivo adjunto para iniciarlo.
Activando los archivos maliciosos
Afortunadamente, al iniciar los archivos adjuntos de OneNote, el programa te advierte que hacerlo puede dañar tu computadora y tus datos.
Pero, lamentablemente, la historia nos ha demostrado que este tipo de avisos suelen ignorarse y los usuarios simplemente hacen clic en el botón Aceptar.
Al hacer clic en el botón Aceptar, se inicia el script VBS para descargar e instalar malware. Como puedes ver en uno de los archivos VBS maliciosos de OneNote encontrados por los investigadores el script descarga y ejecuta dos archivos desde un servidor remoto.
El primero que se muestra a continuación es un documento señuelo de OneNote que se abre y se ve como el documento que los usuarios esperaban. Sin embargo, el archivo VBS también ejecuta un archivo batch malicioso en segundo plano para instalar malware en el dispositivo.
En los correos electrónicos maliciosos observados, los archivos de OneNote instalan troyanos de acceso remoto que incluyen funcionalidad para robar información.
El investigador de ciberseguridad James confirmó esto. Él dijo que los archivos adjuntos de OneNote que analizó instalaron los troyanos de acceso remoto AsyncRAT y XWorm.
Un archivo adjunto de OneNote analizado instala el troyano identificado como Quasar Remote Access.
Protección contra estas amenazas
Una vez instalado, este tipo de malware permite a los atacantes acceder de forma remota al dispositivo de la víctima para robar archivos, guardar contraseñas del navegador y tomar capturas de pantalla. Además, en algunos casos, incluso puede grabar videos usando cámaras web.
Los atacantes también suelen usar troyanos de acceso remoto para robar billeteras de criptomonedas de los dispositivos de las víctimas. Esto hace que sea una infección costosa.
La mejor manera de protegerse de los archivos adjuntos maliciosos es simplemente no abrir archivos de personas que no conoces. Sin embargo, si abres un archivo por error, no ignores las advertencias que muestra el sistema operativo o la aplicación.
Si ves una advertencia de que abrir un archivo adjunto o enlace podría dañar tu computadora o tus archivos, simplemente no presiones Aceptar y cierra la aplicación.
Si crees que puede ser un correo electrónico legítimo, compártelo con un administrador de seguridad para que te ayude a verificar si el archivo es seguro.