Atacantes Explotan Archivos Adjuntos de Microsoft OneNote para Robar Credenciales y Propagar Malware

[post-views]
febrero 01, 2023 · 4 min de lectura
Atacantes Explotan Archivos Adjuntos de Microsoft OneNote para Robar Credenciales y Propagar Malware

Los documentos de Microsoft han sido víctimas de ataques de phishing, y los adversarios están continuamente buscando nuevas maneras de diseminar cepas maliciosas. Las vulnerabilidades de seguridad que comprometen los productos de Microsoft frecuentemente causan revuelo en el ámbito de amenazas cibernéticas, afectando a un gran número de usuarios, como en el caso Follina defecto de día cero y CVE-2022-22005.

Los investigadores de seguridad informan a la comunidad global de defensores cibernéticos que los hackers están utilizando archivos adjuntos de Microsoft OneNote en recientes ciberataques como un señuelo en correos electrónicos de phishing para instalar malware y obtener acceso no autorizado a datos sensibles de los usuarios.

Detectar Ciberataques que Abusan de Adjuntos de OneNote

Los defensores cibernéticos están esforzándose por ser ultra-responsivos para defender proactivamente contra amenazas emergentes y TTPs adversarias. Mientras que los actores de amenazas están constantemente experimentando con nuevos vectores de ataque y formas engañosas de propagar malware, implementar prácticas de defensa cibernética proactiva puede ayudar a las organizaciones a remediar cualquier amenaza de una manera más eficiente.

La Plataforma SOC Prime agrega un conjunto de reglas Sigma para ayudar a los ingenieros de seguridad a identificar oportunamente la infección relacionada con los archivos adjuntos de OneNote propagados en correos electrónicos de phishing. Todo el contenido de detección es compatible con más de 25 soluciones SIEM, EDR, BDP y XDR y está mapeado al marco MITRE ATT&CK® v12.

Presiona el Explorar Detecciones botón abajo para acceder a la lista completa de contenido de detección relevante, acompañado de amplia metadata y referencias CTI.

Explorar Detecciones

Explotación de Microsoft OneNote: Análisis de Ataque

La aplicación Microsoft OneNote, una utilidad digital de escritorio ampliamente utilizada incluida en los paquetes Microsoft Office 2019 y Microsoft 365, está siendo actualmente abusada por atacantes para lanzar ataques de malware basados en phishing.

La cadena de infección comienza al hacer clic en un archivo adjunto señuelo, que lanza un script e instala malware desde sitios web remotos. Los investigadores de Trustwave SpiderLabs han estado observando la actividad maliciosa abusando de archivos adjuntos de OneNote desde mediados de diciembre de 2022, y las primeras campanadas de advertencia sobre la vulnerabilidad vinieron de un tweet por Tendencias de Ataque de Perception Point. Según los investigadores de ciberseguridad, el malware distribuido a través de correos electrónicos de phishing y que contiene spam malicioso (malspam) con archivos adjuntos de OneNote puede robar credenciales para apuntar a billeteras de criptomonedas y desplegar otras muestras de malware.

Microsoft ya no aplica macros en sus archivos de Office, dejando a los hackers sin oportunidad de explotar documentos de Excel y Word para propagar cepas maliciosas. Sin embargo, a diferencia de Excel y Word, OneNote no soporta macros. La investigación del ataque revela que la mayoría de los correos electrónicos de phishing aplican un señuelo instando a las potenciales víctimas a hacer doble clic en el archivo adjunto troyanizado. Una vez hecho clic, lanza el script malicioso de Visual Basic, el cual establece comunicación con un servidor remoto e intenta instalar otro malware, incluyendo un conjunto de troyanos. Los correos electrónicos de malspam revelados frecuentemente se hacen pasar por documentos de envío, facturas y dibujos.

Como medidas de mitigación potencial, se recomienda a los usuarios de OneNote habilitar la autenticación multifactor, usar protección antivirus y seguir las mejores prácticas de seguridad para prevenir ataques de phishing.

Dado un volumen en constante crecimiento de ciberataques que abusan de herramientas legítimas, que son utilizadas por miles de usuarios a nivel mundial, los profesionales de la seguridad requieren una fuente confiable de contenido de detección para mantenerse al tanto de nuevos trucos y enfoques maliciosos. Navega por socprime.com para buscar reglas Sigma contra amenazas actuales y emergentes, incluyendo más de 9,000 ideas para Ingeniería de Detección y Caza de Amenazas junto con un contexto de amenaza cibernética integral. O actualízate a On Demand para desbloquear acceso a reglas Sigma Premium para tener las detecciones más relevantes a mano y reducir segundos en las operaciones de caza de amenazas.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de Malware Koske: Nueva Amenaza Linux Generada con IA en Circulación 6 min de lectura Últimas Amenazas Detección de Malware Koske: Nueva Amenaza Linux Generada con IA en Circulación by Veronika Telychko Inteligencia de Amenazas con IA 15 min de lectura SIEM y EDR Inteligencia de Amenazas con IA by Veronika Telychko CyberLock, Lucky_Gh0$t y la Detección de Numero: Hackers Arman Instaladores Falsos de Herramientas de IA para Ataques de Ransomware y Malware 7 min de lectura Últimas Amenazas CyberLock, Lucky_Gh0$t y la Detección de Numero: Hackers Arman Instaladores Falsos de Herramientas de IA para Ataques de Ransomware y Malware by Veronika Telychko
Todas las noticias