Вложения Microsoft OneNote используются для распространения вредоносных программ

Хакеры обнаружили новый способ обойти блокировку макросов в файлах Microsoft Office и при этом доставить вредоносное ПО через набор онлайн- приложений компании для совместной работы.

Вложения Microsoft OneNote используются для распространения вредоносных программ. Фото: СС0

Эксперты по безопасности из BleepingComputer обнаружили недавно распространенные фишинговые электронные письма с вложениями OneNote.

OneNote — это приложение для создания цифровых заметок, которое люди могут использовать для создания общей библиотеки контента. Он является частью более широкого пакета Microsoft Office, а это означает, что если люди установили его, они также могут открывать файлы OneNote.

Хотя файлы OneNote не поддерживают макросы, но они поддерживают вложения, и это то, что теперь используют мошенники.

В самих фишинговых письмах нет ничего необычного — они включают поддельные уведомления о посылках DHL, поддельные счета-фактуры, поддельные уведомления о доставке, формы денежных переводов ACH и тому подобное. Вместо прикрепленного файла Word или Excel они несут файл OneNote, который при открытии кажется размытым, с огромной кнопкой посередине с надписью «Двойной щелчок для просмотра файла».

Однако двойной щелчок запускает вложение, которое в данном случае является вредоносным файлом VBS.

Затем этот файл инициирует связь с сервером управления и контроля (C2) и загружает вредоносное ПО.

BleepingComputer получил пару таких писем и определил, что распространяется несколько троянов удаленного доступа и программ для кражи информации, включая трояны удаленного доступа AsyncRAT и XWorm, а также троян удаленного доступа Quasar.

Лучший способ защиты от этих атак остается прежним: научите своих сотрудников не загружать вложения и не переходить по ссылкам электронной почты от людей, которых они не знают, которым они не доверяют или чья личность не может быть подтверждена. Кроме того, их следует научить не игнорировать предупреждающие сообщения, выдаваемые в таких программах, как Word, Excel или OneNote. Кроме того, приветствуется наличие мощного антивирусного решения и брандмауэра, говорят исследователи.

Наконец, активация многофакторной аутентификации (MFA) везде, где это возможно, значительно снижает вероятность более серьезной компрометации.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме