Ngày 03 tháng 2 năm 2023Ravie LakshmananTấn công Vector / Bảo mật điểm cuối
Trong một dấu hiệu liên tục cho thấy các tác nhân đe dọa đang thích nghi tốt với thế giới hậu vĩ mô, đã nổi lên rằng việc sử dụng các tài liệu microsoft onenote để phân phối phần mềm độc hại thông qua các cuộc tấn công lừa đảo đang gia tăng.
Một số họ phần mềm độc hại đáng chú ý đang được phát tán bằng phương pháp này bao gồm AsyncRAT, RedLine Stealer, Agent Tesla, DOUBLEBACK, Quasar RAT, XWorm, Qakbot, BATLOADER và FormBook.
Công ty doanh nghiệp Proofpoint cho biết họ đã phát hiện hơn 50 chiến dịch tận dụng các tệp đính kèm OneNote chỉ trong tháng 1 năm 2023.
Trong một số trường hợp, mồi nhử lừa đảo qua email chứa tệp OneNote, tệp này sẽ nhúng tệp HTA gọi tập lệnh PowerShell để truy xuất tệp nhị phân độc hại từ máy chủ từ xa.
Các tình huống khác đòi hỏi phải thực thi một VBScript giả mạo được nhúng trong tài liệu OneNote và ẩn đằng sau một hình ảnh xuất hiện dưới dạng một nút dường như vô hại. Về phần mình, VBScript được thiết kế để loại bỏ tập lệnh PowerShell để chạy DOUBLEBACK.
“Điều quan trọng cần lưu ý là một cuộc tấn công chỉ thành công nếu người nhận tương tác với tệp đính kèm, cụ thể bằng cách nhấp vào tệp được nhúng và bỏ qua thông báo cảnh báo được hiển thị bởi OneNote,” Proofpoint cho biết.
Chuỗi lây nhiễm có thể thực hiện được nhờ tính năng OneNote cho phép thực thi các loại tệp được chọn trực tiếp từ bên trong ứng dụng ghi chú trong trường hợp tấn công “chuyển lậu tải trọng”.
Scott Nusbaum, nhà nghiên cứu của TrustedSec cho biết: “Hầu hết các loại tệp có thể được xử lý bởi MSHTA, WSCRIPT và CSCRIPT đều có thể được thực thi từ bên trong OneNote”. “Các loại tệp này bao gồm CHM, HTA, JS, WSF và VBS.”
Là hành động khắc phục hậu quả, công ty an ninh mạng Phần Lan WithSecure đang khuyến nghị người dùng chặn tệp đính kèm thư OneNote (tệp .one và .onepkg) và theo dõi chặt chẽ các hoạt động của quy trình OneNote.exe.
Việc chuyển sang OneNote được coi là phản ứng đối với quyết định của Microsoft không cho phép macro theo mặc định trong các ứng dụng Microsoft Office được tải xuống từ internet vào năm ngoái, khiến các tác nhân đe dọa thử nghiệm các loại tệp không phổ biến như ISO, VHD, SVG, CHM, RAR, HTML và LNK.
Mục đích đằng sau việc chặn macro có hai mục đích: Không chỉ giảm bề mặt tấn công mà còn tăng cường nỗ lực cần thiết để thực hiện một cuộc tấn công, ngay cả khi email tiếp tục là phương tiện phân phối phần mềm độc hại hàng đầu.
Nhưng đây không phải là những lựa chọn duy nhất đã trở thành một cách phổ biến để che giấu mã độc. Các tệp bổ trợ Microsoft Excel (XLL) và macro Publisher cũng đã được sử dụng như một đường tấn công để vượt qua các biện pháp bảo vệ của Microsoft và truyền bá một trojan truy cập từ xa có tên là Ekipa RAT và các cửa hậu khác.
Việc lạm dụng các tệp XLL đã không được nhà sản xuất Windows chú ý, họ đang lên kế hoạch cập nhật để “chặn các phần bổ trợ XLL đến từ internet”, trích dẫn “số lượng các cuộc tấn công phần mềm độc hại ngày càng tăng trong những tháng gần đây.” Tùy chọn này dự kiến sẽ khả dụng vào khoảng tháng 3 năm 2023.
Khi đưa ra bình luận, Microsoft nói với The Hacker News rằng họ không có gì để chia sẻ vào lúc này.
“Có thể thấy rõ cách tội phạm mạng tận dụng các hướng tấn công mới hoặc các phương tiện ít bị phát hiện hơn để xâm phạm thiết bị của người dùng,” Adrian Miron của Bitdefender cho biết. “Các chiến dịch này có thể sẽ phát triển nhanh chóng trong những tháng tới, với những kẻ lừa đảo trên mạng đang thử nghiệm các góc độ tốt hơn hoặc được cải thiện để thỏa hiệp với nạn nhân.”
