Gli Attaccanti Sfruttano gli Allegati di Microsoft OneNote per Rubare Credenziali e Diffondere Malware
Indice:
I documenti Microsoft sono stati oggetto di attacchi di phishing e gli avversari sono costantemente alla ricerca di nuovi modi per diffondere ceppi dannosi. Le vulnerabilità di sicurezza che compromettono i prodotti Microsoft spesso causano scalpore nell’arena delle minacce informatiche, colpendo un numero elevato di utenti, come nel caso Follina falla zero-day e CVE-2022-22005.
I ricercatori informatici informano la comunità globale dei difensori informatici che gli hacker sfruttano gli allegati di Microsoft OneNote in recenti attacchi informatici come esca nelle email di phishing per installare malware e ottenere accesso non autorizzato ai dati sensibili degli utenti.
Rilevare Attacchi Informatici che Abusano degli Allegati OneNote
I difensori informatici stanno cercando di essere ultra-reattivi per difendersi proattivamente dalle minacce emergenti e dai TTP degli avversari. Sebbene gli attori delle minacce stiano costantemente sperimentando nuovi vettori di attacco e modi ingannevoli per diffondere malware, l’implementazione di pratiche di difesa informatica proattiva può aiutare le organizzazioni a risolvere qualsiasi minaccia in modo più efficiente.
La Piattaforma SOC Prime aggrega un insieme di regole Sigma per aiutare gli ingegneri della sicurezza a identificare tempestivamente l’infezione legata agli allegati OneNote diffusi nelle email di phishing. Tutti i contenuti di rilevazione sono compatibili con oltre 25 soluzioni SIEM, EDR, BDP e XDR e sono mappati al quadro di riferimento MITRE ATT&CK® v12.
Premere il Esplora Rilevazioni pulsante qui sotto per accedere all’elenco completo del contenuto di rilevazione pertinente, accompagnato da numerosi metadati e riferimenti CTI.
Sfruttamento di Microsoft OneNote: Analisi dell’Attacco
L’applicazione Microsoft OneNote, un’utilità digitale desktop ampiamente utilizzata inclusa nei pacchetti Microsoft Office 2019 e Microsoft 365, è attualmente sfruttata dagli attaccanti per lanciare attacchi malware basati su phishing.
La catena di infezione inizia cliccando su un allegato esca, che avvia uno script e installa malware da siti web remoti. I ricercatori di Trustwave SpiderLabs hanno osservato l’attività malevola che abusa degli allegati OneNote da metà dicembre 2022, e i primi segnali d’allarme riguardanti la vulnerabilità sono giunti da un tweet di Perception Point Attack Trends. Secondo i ricercatori della sicurezza informatica, il malware distribuito tramite email di phishing contenenti allegati OneNote spam malevolo (malspam) può rubare credenziali per colpire portafogli di criptovalute e distribuire altri campioni di malware.
Microsoft non applica più macro nei suoi file Office, non lasciando alcuna possibilità agli hacker di sfruttare documenti Excel e Word per diffondere ceppi dannosi. Tuttavia, a differenza di Excel e Word, OneNote non supporta le macro. L’indagine sull’attacco rivela che la maggior parte delle email di phishing utilizza un’esca che invita le potenziali vittime a fare doppio clic sull’allegato trojanizzato. Una volta cliccato, viene avviato il Visual Basic Script malevolo, che stabilisce la comunicazione con un server remoto e tenta di installare altri malware, inclusa una serie di Trojan. Le email di malspam rivelate impersonano frequentemente documenti di spedizione, fatture e disegni.
Come misure potenziali di mitigazione, si raccomanda agli utenti di OneNote di abilitare l’autenticazione a più fattori, utilizzare la protezione antivirus e seguire le migliori pratiche di sicurezza per prevenire gli attacchi di phishing.
Dato un volume costantemente crescente di attacchi informatici che abusano di strumenti legittimi, utilizzati da migliaia di utenti a livello globale, i professionisti della sicurezza richiedono una fonte affidabile di contenuti di rilevazione per rimanere un passo avanti rispetto ai trucchi e agli approcci malevoli nuovi. Navigare su socprime.com per cercare regole Sigma contro minacce correnti ed emergenti, incluse oltre 9.000 idee per ingegneria del rilevamento e caccia alle minacce insieme a un contesto completo di minacce informatiche. Oppure aggiorna a On Demand per sbloccare l’accesso alle regole Sigma Premium per avere le rilevazioni più rilevanti a portata di mano e ridurre i tempi delle operazioni di caccia alle minacce.
