警惕!黑客现在开始使用 Microsoft OneNote 附件传播恶意软件和病毒!-零度博客

警惕!黑客现在开始使用 Microsoft OneNote 附件传播恶意软件和病毒!

图片[1]-警惕!黑客现在开始使用 Microsoft OneNote 附件传播恶意软件和病毒!-零度博客

威胁行为者现在在网络钓鱼电子邮件中使用 OneNote 附件,用远程访问恶意软件感染受害者,这些恶意软件可用于安装更多恶意软件、窃取密码甚至加密货币钱包。

多年来,攻击者一直在使用恶意 Word 和 Excel 附件在电子邮件中分发恶意软件,这些附件会启动宏来下载和安装恶意软件。

然而,在 7 月,微软终于在 Office 文档中默认禁用了宏,使得这种分发恶意软件的方法变得不可靠。

不久之后,威胁行为者开始使用新的文件格式,例如 ISO 映像和受密码保护的 ZIP 文件。这些文件格式很快变得非常普遍,这得益于允许 ISO 绕过安全警告的 Windows 错误,以及流行的 7-Zip 存档实用程序不会将网络标记传播到从 ZIP 存档中提取的文件。

然而,7-Zip和Windows 最近修复了这些错误,当用户尝试打开下载的 ISO 和 ZIP 文件中的文件时,这些错误会导致 Windows 显示可怕的安全警告。

网络标记传播到 ISO 内的文件
网络标记传播到 ISO 内的文件

威胁行为者并没有被吓倒,而是迅速转向在其恶意垃圾邮件 (malspam) 附件中使用一种新的文件格式:Microsoft OneNote 附件。

滥用 OneNote 附件

Microsoft OneNote是一款桌面数字笔记本应用程序,可免费下载,包含在 Microsoft Office 2019 和 Microsoft 365 中。

由于 Microsoft OneNote 默认安装在所有 Microsoft Office/365 安装中,即使 Windows 用户不使用该应用程序,也仍然可以打开该文件格式。

自 12 月中旬以来,网络安全研究人员警告说,威胁行为者已开始分发包含 OneNote 附件的恶意垃圾邮件。

从发现的样本来看,这些恶意垃圾邮件伪装成 DHL 运输通知、发票、ACH 汇款单、机械图纸和运输文件。

带有 OneNote 附件的假 DHL 电子邮件
带有 OneNote 附件的假 DHL 电子邮件

与 Word 和 Excel 不同的是,OneNote 不支持宏,这是威胁行为者之前启动脚本来安装恶意软件的方式。

相反,OneNote 允许用户将附件插入 NoteBook,双击后将启动附件。

威胁行为者通过附加恶意 VBS 附件滥用此功能,当双击从远程站点下载恶意软件并安装时,该附件会自动启动脚本。

然而,附件在 OneNote 中看起来像一个文件图标,因此攻击者在插入的 VBS 附件上覆盖了一个大的“双击查看文件”栏以隐藏它们。

恶意 OneNote 电子邮件附件
恶意 OneNote 电子邮件附件

当您将“单击以查看文档”栏移开时,您可以看到恶意附件包含多个附件。这行附件使得如果用户双击栏上的任意位置,它将双击附件以启动它。

隐藏的 OneNote 附件
隐藏的 OneNote 附件

值得庆幸的是,在启动 OneNote 附件时,该程序会警告您这样做会损害您的计算机和数据。

但不幸的是,历史告诉我们,这些类型的提示通常被忽略,用户只是点击确定按钮。

OneNote 附件安全警告
OneNote 附件安全警告

单击“确定”按钮将启动 VBS 脚本以下载并安装恶意软件。从发现的其中一个恶意 OneNote VBS 文件中可以看出,该脚本将从远程服务器下载并执行两个文件。

下面显示的第一个是一个诱饵 OneNote 文档,它打开后看起来像您期望的文档。但是,VBS 文件还会在后台执行恶意批处理文件,以在设备上安装恶意软件。

附在 OneNote 附件上的恶意 VB 脚本
附在 OneNote 附件上的恶意 VB 脚本

在看到的恶意垃圾邮件中,OneNote 文件安装了包含信息窃取功能的远程访问木马。

网络安全研究员 James 证实了这一点,他分析的 OneNote 附件安装了 AsyncRAT 和 XWorm 远程访问木马。

看到的 OneNote 附件安装了被检测为 Quasar Remote Access 木马的东西。

防范这些威胁

安装后,这种类型的恶意软件允许威胁行为者远程访问受害者的设备以窃取文件、保存浏览器密码、截取屏幕截图,在某些情况下,甚至可以使用网络摄像头录制视频。

威胁行为者还通常使用远程访问木马从受害者的设备中窃取加密货币钱包,从而使这种感染代价高昂。

保护自己免受恶意附件侵害的最佳方法就是不要打开陌生人的文件。但是,如果您错误地打开文件,请不要忽视操作系统或应用程序显示的警告。

如果您看到打开附件或链接可能会损害您的计算机或文件的警告,请不要按确定并关闭应用程序。

如果您认为它可能是一封合法的电子邮件,请与安全或 Windows 管理员共享它以帮助您验证该文件是否安全。

THE END
喜欢就支持一下吧
点赞6539 分享
重磅消息!Stable Diffusion 3 震撼发布,能否吊打Sora就看它了!! | 零度解说-零度博客

重磅消息!Stable Diffusion 3 震撼发布,能否吊打Sora就看它了!! | 零度解说

https://youtu.be/A01J_NOdGbU ============== Stable Diffusion 3 申请:https://www.freedidi.com/11665.html https://www.freedidi.com/11665.html
admin的头像-零度博客admin
1.3W+1527
比特币史上最大的悬案 “是谁破解了中本聪账号”? | 零度解密-零度博客
SyncBackFree 100%免费好用的电脑文件同步软件-零度博客

SyncBackFree 100%免费好用的电脑文件同步软件

  Windows 备份软件 - 100% 免费 - 超级好用! 支持 Windows 11、10、8、7 和 Vista,支持 32 位和 64 位版本的 Windows 官方下载:【点击前往】  
admin的头像-零度博客admin
1.4W+1527
谷歌I/O发布会掀起科技狂潮,五大黑科技抢先看-零度博客

谷歌I/O发布会掀起科技狂潮,五大黑科技抢先看

科技巨头谷歌在年度I/O开发者大会重磅发布人工智能新品 北京时间5月15日凌晨,谷歌年度科技盛会I/O开发者大会拉开帷幕。正如预期,人工智能无疑成为了本次大会的核心主题。在为期两小时的精彩演讲...
admin的头像-零度博客admin
1.3W+1527
美国 VPN - Planet VPN lite 代理,提供原生IP-零度博客

美国 VPN – Planet VPN lite 代理,提供原生IP

VPN USA - Planet VPN Lite Proxy:最佳 Chrome 浏览器扩展程序,提供原生IP,IP纯净度还算可以! 使用 VPN USA - Planet VPN Lite Proxy,体验安全快速的互联网浏览体验,这是一款便捷的 Chrom...
admin的头像-零度博客admin
1.6W+726
Windows 10/11 激活密钥查找大全 - 轻松找回KMS、OEM和数字许可证-零度博客

Windows 10/11 激活密钥查找大全 – 轻松找回KMS、OEM和数字许可证

https://youtu.be/_OGLuTTWQHw     查找密钥的CMD命令:https://www.freedidi.com/13758.html
Qwen3 正式发布,目前最强的开源模型?无缝集成思考模式、多语言-零度博客

Qwen3 正式发布,目前最强的开源模型?无缝集成思考模式、多语言

Qwen 3是 Qwen 系列中最新一代大型语言模型,提供全面的密集和混合专家 (MoE) 模型。旗舰模型Qwen3-235B-A22B在编码、数学、通用能力等基准测试中取得了与 DeepSeek-R1、o1、o3-mini、Grok-3 和...
admin的头像-零度博客admin
1.9W+1127
2023 年 MacBook Pro 评测:精致的第二代-零度博客

2023 年 MacBook Pro 评测:精致的第二代

Apple 在 Mac 中使用自己的芯片的一个有趣的副作用是,Mac 的更新周期现在看起来更像 iPhone 的:大部分是可预测的,定期更新,提供适度的一代又一代的性能提升,也许一些额外的改进或新功能。 ...
admin的头像-零度博客admin
1.3W+6539
最火爆的 AI绘图模型: ChilloutMix 等其它5个热门模型下载!含提示词-零度博客

最火爆的 AI绘图模型: ChilloutMix 等其它5个热门模型下载!含提示词

不得不承认的是,最近AI绘图火的一塌糊涂!各种AI美图层出不穷,大家看到的很多网红脸AI小姐姐基本上都来自ChilloutMix 然而在ChilloutMix爆火的时候,作者TASUKU2023突然删掉了自己在网上分享...
admin的头像-零度博客admin
1.7W+6539