Cibercriminosos Exploram Anexos do Microsoft OneNote para Roubar Credenciais e Espalhar Malware

[post-views]
Fevereiro 01, 2023 · 4 min de leitura
Cibercriminosos Exploram Anexos do Microsoft OneNote para Roubar Credenciais e Espalhar Malware

Os documentos da Microsoft foram vítimas de ataques de phishing, e os adversários estão continuamente procurando novas maneiras de disseminar cepas maliciosas. Vulnerabilidades de segurança comprometendo produtos da Microsoft frequentemente causam agitação na arena de ameaças cibernéticas, afetando um grande número de usuários, como no caso Follina falha zero-day e CVE-2022-22005.

Pesquisadores de segurança informam a comunidade global de defensores cibernéticos que hackers estão usando anexos do Microsoft OneNote em ataques cibernéticos recentes como isca em e-mails de phishing para instalar malware e obter acesso não autorizado a dados sensíveis dos usuários.

Detectar Ataques Cibernéticos que Abusam de Anexos do OneNote

Os defensores cibernéticos estão se esforçando para ser ultra-responsivos para defender proativamente contra ameaças emergentes e TTPs dos adversários. Enquanto agentes de ameaça estão constantemente experimentando novos vetores de ataque e maneiras complicadas de espalhar malware, a implementação de práticas de defesa cibernética proativa pode ajudar as organizações a remediar quaisquer ameaças de uma maneira mais eficiente.

A Plataforma SOC Prime agrega um lote de regras Sigma para ajudar engenheiros de segurança a identificar tempestivamente a infecção relacionada aos anexos do OneNote espalhados em e-mails de phishing. Todo o conteúdo de detecção é compatível com mais de 25 soluções SIEM, EDR, BDP e XDR e é mapeado no framework MITRE ATT&CK® v12.

Pressione o Explorar Detecções botão abaixo para acessar a lista completa de conteúdos de detecção relevantes, acompanhados por extensa metadados e referências CTI.

Explorar Detecções

Exploitação do Microsoft OneNote: Análise de Ataque

O aplicativo Microsoft OneNote, uma utilidade digital de desktop amplamente utilizada incluída nos pacotes Microsoft Office 2019 e Microsoft 365, está atualmente sendo abusado por atacantes para lançar ataques de malware baseados em phishing.

A cadeia de infecção começa clicando em um anexo de isca, que executa um script e instala malware a partir de sites remotos. Pesquisadores da Trustwave SpiderLabs têm observado a atividade maliciosa abusando de anexos do OneNote desde meados de dezembro de 2022, e os primeiros sinais de alerta sobre a vulnerabilidade vieram de um tweet da Perception Point Attack Trends. Segundo pesquisadores de cibersegurança, o malware distribuído via e-mails de phishing e contendo anexos maliciosos de spam (malspam) do OneNote pode roubar credenciais para atingir carteiras de criptomoedas e implantar outros amostras de malware.

A Microsoft não aplica mais macros em seus arquivos do Office, não dando chance aos hackers de explorar documentos do Excel e Word para espalhar cepas maliciosas. No entanto, ao contrário do Excel e Word, o OneNote não suporta macros. A investigação do ataque revela que a maioria dos e-mails de phishing aplica uma isca solicitando que as vítimas em potencial cliquem duas vezes no anexo trojanizado. Uma vez clicado, ele lança o script malicioso Visual Basic, que estabelece comunicação com um servidor remoto e tenta instalar outros malware, incluindo um conjunto de trojans. Os e-mails de malspam revelados frequentemente imitam documentos de envio, faturas e desenhos.

Como medidas de mitigação potenciais, recomenda-se que os usuários do OneNote habilitem autenticação multifator, usem proteção antivírus e sigam as melhores práticas de segurança para prevenir ataques de phishing.

Dado o volume em constante crescimento de ataques cibernéticos que abusam de ferramentas legítimas, usadas por milhares de usuários globalmente, os profissionais de segurança precisam de uma fonte confiável de conteúdo de detecção para se manter à frente de novos truques e abordagens maliciosas. Navegue em socprime.com para buscar regras Sigma contra ameaças atuais e emergentes, incluindo mais de 9.000 ideias para Engenharia de Detecção e Caça de Ameaças juntamente com um contexto abrangente de ameaças cibernéticas. Ou faça upgrade para On Demand para desbloquear acesso a regras Sigma Premium para ter as detecções mais relevantes em mãos e economizar segundos nas operações de caça de ameaças.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção do Malware Koske: Nova Ameaça Linux Gerada por IA em Atividade 7 min de leitura Ameaças Mais Recentes Detecção do Malware Koske: Nova Ameaça Linux Gerada por IA em Atividade by Veronika Telychko Inteligência de Ameaças com IA 17 min de leitura SIEM & EDR Inteligência de Ameaças com IA by Veronika Telychko CyberLock, Lucky_Gh0$t e Detecção de Numero: Hackers Armem Instaladores Falsos de Ferramentas de IA em Ataques de Ransomware e Malware 8 min de leitura Ameaças Mais Recentes CyberLock, Lucky_Gh0$t e Detecção de Numero: Hackers Armem Instaladores Falsos de Ferramentas de IA em Ataques de Ransomware e Malware by Veronika Telychko
Todas as notícias