威胁行为者现在在网络钓鱼电子邮件中使用 OneNote 附件,用远程访问恶意软件感染受害者,这些恶意软件可用于安装更多恶意软件、窃取密码甚至加密货币钱包。

多年来,攻击者一直在使用恶意 Word 和 Excel 附件在电子邮件中分发恶意软件,这些附件会启动宏来下载和安装恶意软件。

然而,在 7 月,微软终于在 Office 文档中默认禁用了宏,使得这种分发恶意软件的方法变得不可靠。

不久之后,威胁行为者开始使用新的文件格式,例如 ISO 映像和受密码保护的 ZIP 文件。这些文件格式很快变得非常普遍,这得益于允许 ISO 绕过安全警告的 Windows 错误,以及流行的 7-Zip 存档实用程序不会将网络标记传播到从 ZIP 存档中提取的文件。

然而,7-Zip和Windows 最近修复了这些错误,当用户尝试打开下载的 ISO 和 ZIP 文件中的文件时,这些错误会导致 Windows 显示可怕的安全警告。

网络标记传播到 ISO 内的文件
网络标记传播到 ISO 内的文件

威胁行为者并没有被吓倒,而是迅速转向在其恶意垃圾邮件 (malspam) 附件中使用一种新的文件格式:Microsoft OneNote 附件。

滥用 OneNote 附件

Microsoft OneNote是一款桌面数字笔记本应用程序,可免费下载,包含在 Microsoft Office 2019 和 Microsoft 365 中。

由于 Microsoft OneNote 默认安装在所有 Microsoft Office/365 安装中,即使 Windows 用户不使用该应用程序,也仍然可以打开该文件格式。

自 12 月中旬以来,网络安全研究人员警告说,威胁行为者已开始分发包含 OneNote 附件的恶意垃圾邮件。

从发现的样本来看,这些恶意垃圾邮件伪装成 DHL 运输通知、发票、ACH 汇款单、机械图纸和运输文件。

带有 OneNote 附件的假 DHL 电子邮件
带有 OneNote 附件的假 DHL 电子邮件

与 Word 和 Excel 不同的是,OneNote 不支持宏,这是威胁行为者之前启动脚本来安装恶意软件的方式。

相反,OneNote 允许用户将附件插入 NoteBook,双击后将启动附件。

威胁行为者通过附加恶意 VBS 附件滥用此功能,当双击从远程站点下载恶意软件并安装时,该附件会自动启动脚本。

然而,附件在 OneNote 中看起来像一个文件图标,因此攻击者在插入的 VBS 附件上覆盖了一个大的“双击查看文件”栏以隐藏它们。

恶意 OneNote 电子邮件附件
恶意 OneNote 电子邮件附件

当您将“单击以查看文档”栏移开时,您可以看到恶意附件包含多个附件。这行附件使得如果用户双击栏上的任意位置,它将双击附件以启动它。

隐藏的 OneNote 附件
隐藏的 OneNote 附件

值得庆幸的是,在启动 OneNote 附件时,该程序会警告您这样做会损害您的计算机和数据。

但不幸的是,历史告诉我们,这些类型的提示通常被忽略,用户只是点击确定按钮。

OneNote 附件安全警告
OneNote 附件安全警告

单击“确定”按钮将启动 VBS 脚本以下载并安装恶意软件。从发现的其中一个恶意 OneNote VBS 文件中可以看出,该脚本将从远程服务器下载并执行两个文件。

下面显示的第一个是一个诱饵 OneNote 文档,它打开后看起来像您期望的文档。但是,VBS 文件还会在后台执行恶意批处理文件,以在设备上安装恶意软件。

附在 OneNote 附件上的恶意 VB 脚本
附在 OneNote 附件上的恶意 VB 脚本

在看到的恶意垃圾邮件中,OneNote 文件安装了包含信息窃取功能的远程访问木马。

网络安全研究员 James 证实了这一点,他分析的 OneNote 附件安装了 AsyncRAT 和 XWorm 远程访问木马。

看到的 OneNote 附件安装了被检测为 Quasar Remote Access 木马的东西。

防范这些威胁

安装后,这种类型的恶意软件允许威胁行为者远程访问受害者的设备以窃取文件、保存浏览器密码、截取屏幕截图,在某些情况下,甚至可以使用网络摄像头录制视频。

威胁行为者还通常使用远程访问木马从受害者的设备中窃取加密货币钱包,从而使这种感染代价高昂。

保护自己免受恶意附件侵害的最佳方法就是不要打开陌生人的文件。但是,如果您错误地打开文件,请不要忽视操作系统或应用程序显示的警告。

如果您看到打开附件或链接可能会损害您的计算机或文件的警告,请不要按确定并关闭应用程序。

如果您认为它可能是一封合法的电子邮件,请与安全或 Windows 管理员共享它以帮助您验证该文件是否安全。