Des attaquants exploitent les pièces jointes Microsoft OneNote pour voler des identifiants et propager des malwares
Table des matières :
Les documents Microsoft ont été victimes d’attaques de phishing, et les adversaires cherchent continuellement de nouvelles façons de diffuser des souches malveillantes. Les vulnérabilités de sécurité compromettant les produits Microsoft provoquent fréquemment des remous dans le domaine des menaces cybernétiques, affectant un grand nombre d’utilisateurs, comme dans le cas Follina faille zéro-day et CVE-2022-22005.
Les chercheurs en sécurité informent la communauté mondiale de la défense cybernétique que les pirates exploitent les pièces jointes OneNote de Microsoft dans des cyberattaques récentes comme appât dans des courriels de phishing pour installer des logiciels malveillants et obtenir un accès non autorisé aux données sensibles des utilisateurs.
Détecter les cyberattaques exploitant les pièces jointes OneNote
Les défenseurs cybernétiques s’efforcent d’être ultra-réactifs pour défendre proactivement contre les menaces émergentes et les TTP des adversaires. Alors que les acteurs de menace expérimentent constamment de nouveaux vecteurs d’attaque et des moyens astucieux de propager des logiciels malveillants, la mise en œuvre de pratiques de défense cybernétique proactive peut aider les organisations à éliminer plus efficacement les menaces.
La plate-forme SOC Prime agrège un ensemble de règles Sigma pour aider les ingénieurs en sécurité à identifier de manière opportune l’infection liée aux pièces jointes OneNote diffusées dans les courriels de phishing. Tout le contenu de détection est compatible avec plus de 25 solutions SIEM, EDR, BDP et XDR et est mappé à MITRE ATT&CK® framework v12.
Appuyez sur le Explorer les détections bouton ci-dessous pour accéder à la liste complète du contenu de détection pertinent, accompagné de métadonnées étendues et de références CTI.
Exploitation de Microsoft OneNote : analyse des attaques
L’application Microsoft OneNote, un utilitaire numérique de bureau largement utilisé inclus dans les packages Microsoft Office 2019 et Microsoft 365, est actuellement exploitée par les attaquants pour lancer des attaques de malware basées sur le phishing.
La chaîne d’infection commence par le clic sur une pièce jointe appât, qui lance un script et installe un logiciel malveillant à partir de sites Web distants. Les chercheurs de Trustwave SpiderLabs ont observant l’activité malveillante exploitant les pièces jointes OneNote depuis mi-décembre 2022, et les premières alarmes concernant la vulnérabilité sont venues d’un tweet de Perception Point Attack Trends. Selon les chercheurs en cybersécurité, le logiciel malveillant distribué via des courriels de phishing et contenant des pièces jointes malveillantes (malspam) OneNote peut voler des identifiants pour cibler les portefeuilles de cryptomonnaies et déployer d’autres échantillons de logiciels malveillants.
Microsoft n’applique plus les macros dans ses fichiers Office, ne laissant aucune chance aux pirates d’exploiter les documents Excel et Word pour propager des souches malveillantes. Cependant, contrairement à Excel et Word, OneNote ne prend pas en charge les macros. L’enquête sur l’attaque révèle que la plupart des courriels de phishing appliquent un appât incitant les victimes potentielles à double-cliquer sur la pièce jointe cheval de Troie. Une fois cliqué, il lance le script Visual Basic malveillant, qui établit une communication avec un serveur distant et tente d’installer d’autres logiciels malveillants, y compris un ensemble de chevaux de Troie. Les courriels malveillants révélés imitent fréquemment des documents d’expédition, des factures et des dessins.
En tant que mesures de mitigation potentielles, il est recommandé aux utilisateurs de OneNote d’activer l’authentification multi-facteurs, d’utiliser une protection antivirus, et de suivre les meilleures pratiques de sécurité pour prévenir les attaques de phishing.
Compte tenu du volume croissant des cyberattaques exploitant des outils légitimes, utilisés par des milliers d’utilisateurs dans le monde entier, les professionnels de la sécurité ont besoin d’une source fiable de contenu de détection pour demeurer en avance sur les nouvelles astuces et approches malveillantes. Parcourir socprime.com pour rechercher des règles Sigma contre les menaces actuelles et émergentes, y compris plus de 9 000 idées pour l’ingénierie de détection et la chasse aux menaces ainsi qu’un contexte de menace cybernétique complet. Ou passer à la version sur demande pour débloquer l’accès aux règles Sigma Premium afin d’avoir les détections les plus pertinentes à portée de main et de réduire le temps des opérations de chasse aux menaces.
