警惕!黑客现在开始使用 Microsoft OneNote 附件传播恶意软件和病毒!-零度博客

警惕!黑客现在开始使用 Microsoft OneNote 附件传播恶意软件和病毒!

图片[1]-警惕!黑客现在开始使用 Microsoft OneNote 附件传播恶意软件和病毒!-零度博客

威胁行为者现在在网络钓鱼电子邮件中使用 OneNote 附件,用远程访问恶意软件感染受害者,这些恶意软件可用于安装更多恶意软件、窃取密码甚至加密货币钱包。

多年来,攻击者一直在使用恶意 Word 和 Excel 附件在电子邮件中分发恶意软件,这些附件会启动宏来下载和安装恶意软件。

然而,在 7 月,微软终于在 Office 文档中默认禁用了宏,使得这种分发恶意软件的方法变得不可靠。

不久之后,威胁行为者开始使用新的文件格式,例如 ISO 映像和受密码保护的 ZIP 文件。这些文件格式很快变得非常普遍,这得益于允许 ISO 绕过安全警告的 Windows 错误,以及流行的 7-Zip 存档实用程序不会将网络标记传播到从 ZIP 存档中提取的文件。

然而,7-Zip和Windows 最近修复了这些错误,当用户尝试打开下载的 ISO 和 ZIP 文件中的文件时,这些错误会导致 Windows 显示可怕的安全警告。

网络标记传播到 ISO 内的文件
网络标记传播到 ISO 内的文件

威胁行为者并没有被吓倒,而是迅速转向在其恶意垃圾邮件 (malspam) 附件中使用一种新的文件格式:Microsoft OneNote 附件。

滥用 OneNote 附件

Microsoft OneNote是一款桌面数字笔记本应用程序,可免费下载,包含在 Microsoft Office 2019 和 Microsoft 365 中。

由于 Microsoft OneNote 默认安装在所有 Microsoft Office/365 安装中,即使 Windows 用户不使用该应用程序,也仍然可以打开该文件格式。

自 12 月中旬以来,网络安全研究人员警告说,威胁行为者已开始分发包含 OneNote 附件的恶意垃圾邮件。

从发现的样本来看,这些恶意垃圾邮件伪装成 DHL 运输通知、发票、ACH 汇款单、机械图纸和运输文件。

带有 OneNote 附件的假 DHL 电子邮件
带有 OneNote 附件的假 DHL 电子邮件

与 Word 和 Excel 不同的是,OneNote 不支持宏,这是威胁行为者之前启动脚本来安装恶意软件的方式。

相反,OneNote 允许用户将附件插入 NoteBook,双击后将启动附件。

威胁行为者通过附加恶意 VBS 附件滥用此功能,当双击从远程站点下载恶意软件并安装时,该附件会自动启动脚本。

然而,附件在 OneNote 中看起来像一个文件图标,因此攻击者在插入的 VBS 附件上覆盖了一个大的“双击查看文件”栏以隐藏它们。

恶意 OneNote 电子邮件附件
恶意 OneNote 电子邮件附件

当您将“单击以查看文档”栏移开时,您可以看到恶意附件包含多个附件。这行附件使得如果用户双击栏上的任意位置,它将双击附件以启动它。

隐藏的 OneNote 附件
隐藏的 OneNote 附件

值得庆幸的是,在启动 OneNote 附件时,该程序会警告您这样做会损害您的计算机和数据。

但不幸的是,历史告诉我们,这些类型的提示通常被忽略,用户只是点击确定按钮。

OneNote 附件安全警告
OneNote 附件安全警告

单击“确定”按钮将启动 VBS 脚本以下载并安装恶意软件。从发现的其中一个恶意 OneNote VBS 文件中可以看出,该脚本将从远程服务器下载并执行两个文件。

下面显示的第一个是一个诱饵 OneNote 文档,它打开后看起来像您期望的文档。但是,VBS 文件还会在后台执行恶意批处理文件,以在设备上安装恶意软件。

附在 OneNote 附件上的恶意 VB 脚本
附在 OneNote 附件上的恶意 VB 脚本

在看到的恶意垃圾邮件中,OneNote 文件安装了包含信息窃取功能的远程访问木马。

网络安全研究员 James 证实了这一点,他分析的 OneNote 附件安装了 AsyncRAT 和 XWorm 远程访问木马。

看到的 OneNote 附件安装了被检测为 Quasar Remote Access 木马的东西。

防范这些威胁

安装后,这种类型的恶意软件允许威胁行为者远程访问受害者的设备以窃取文件、保存浏览器密码、截取屏幕截图,在某些情况下,甚至可以使用网络摄像头录制视频。

威胁行为者还通常使用远程访问木马从受害者的设备中窃取加密货币钱包,从而使这种感染代价高昂。

保护自己免受恶意附件侵害的最佳方法就是不要打开陌生人的文件。但是,如果您错误地打开文件,请不要忽视操作系统或应用程序显示的警告。

如果您看到打开附件或链接可能会损害您的计算机或文件的警告,请不要按确定并关闭应用程序。

如果您认为它可能是一封合法的电子邮件,请与安全或 Windows 管理员共享它以帮助您验证该文件是否安全。

THE END
喜欢就支持一下吧
点赞6539 分享
电脑驱动下载、更新,管理软件推荐!完全免费、开源、安全-零度博客

电脑驱动下载、更新,管理软件推荐!完全免费、开源、安全

虽然现在市面上有很多的驱动管理软件,但是要么是收费,要么就各种捆绑,很多人都不敢使用,今天给大家介绍一款, 完全免费且开源的驱动下载、更新、管理软件;它就是Snappy Driver Installer ...
admin的头像-零度博客admin
4.8W+2180
五款非常牛的免费程序,你可能真的没用过! |  零度解说-零度博客

五款非常牛的免费程序,你可能真的没用过! | 零度解说

https://youtu.be/eoTXmcu7fEg   QTTabbar: http://qttabbar.wikidot.com/ MSI Afterburner: https://www.msi.com/page/afterburner 电脑远程控制: 请看YouTube视频里的演示 GOG星系: h...
admin的头像-零度博客admin
1.1W+652
安卓手机最好的免费音乐播放器推荐!-零度博客

安卓手机最好的免费音乐播放器推荐!

1. Leopard V7 音乐播放器 Leopard V7 的音乐播放器是适用于 Android 的最通用的免费音乐应用程序之一。如果您想拥有一款包含几乎所有经典歌曲和最新歌曲的集合的应用,您可以尝试一下。您可以...
谷歌新推出的 .Zip 和 .Mov 域名面临着重大安全隐患!-零度博客

谷歌新推出的 .Zip 和 .Mov 域名面临着重大安全隐患!

  一开始5 月,Google 发布了八个新的顶级域 (TLD)——URL 末尾的后缀,例如“.com”或“.uk”。这些小附录是几十年前开发的,用于扩展和组织 URL,多年来,非营利性互联网名称与数字地址...
admin的头像-零度博客admin
1.3W+6539
开源版GPTs完全免费!轻松点2下就可以创建-零度博客

开源版GPTs完全免费!轻松点2下就可以创建

最近,世界最大的开源社区Hugging Face推出了开源、可定制的AI 助手:Hugging Chat Assistants!完全免费,人人都可以创建自己的GPTs 最良心的是,它目前支持Mixtral-8×7B、Llama 2、Code Llam...
admin的头像-零度博客admin
1.4W+1527
AI绘画关键词网站推荐 :轻松获取百万个提示词!完全免费-零度博客

AI绘画关键词网站推荐 :轻松获取百万个提示词!完全免费

一、lexica.art 该网站拥有数百万Stable Diffusion案例的文字描述和图片,可以为大家提供足够的创作灵感。 使用上也很简单,只要在搜索框输入简单的关键词或上传图片,就能为你提供大量风格不同...
admin的头像-零度博客admin
1.8W+2250
Win11Debloat 一个简单易用且轻量级的脚本!删除Windows 预装的臃肿软件-零度博客

Win11Debloat 一个简单易用且轻量级的脚本!删除Windows 预装的臃肿软件

Win11Debloat 是一个简单、易用且轻量级的 PowerShell 脚本,完全免费开源!可以删除预装的 Windows 臃肿软件应用程序、禁用遥测并通过禁用或删除侵入性界面元素、广告等来简化体验。无需亲自费...
一键生成对口型视频!数字人说话工具Wav2Lip离线版V1.0-零度博客

一键生成对口型视频!数字人说话工具Wav2Lip离线版V1.0

============   1.下载方式:【123网盘下载】、【国外网盘下载】      
admin的头像-零度博客admin
2.4W+1687
重要提醒!升级 Windows 11 前必看,避开这些常见坑!附详细解决方案 | 零度解说-零度博客

重要提醒!升级 Windows 11 前必看,避开这些常见坑!附详细解决方案 | 零度解说

如果你正在打算升级,或者全新安装最新版的 Windows 11系统!那么希望你不要遇到以下这几种问题: https://youtu.be/R5WgTFGw46U Windows 11 (24H2) 正式版下载:https://www.freedidi.com/15...