Crece el número de ciberdelincuentes que utilizan OneNote en sus campañas
- Endpoint
Se han observado más de 50 campañas que distribuían el malware Redline, AgentTesla, Quasar RAT, XWorm, Netwire, DOUBLEBACK y Qbot. En el contenido de los emails es habitual encontrar temas genéricos relacionados con los negocios, como facturas, envíos, impuestos o pagas extra.
Recomendados.... |
Desde que Microsoft empezó a bloquear las macros por defecto en 2022, los atacantes han experimentado con muchas tácticas, técnicas y procedimientos, incluidos archivos que antes no se veían con frecuencia, como los de la aplicación para notas digitales Microsoft OneNote. Pues bien, Proofpoint ha observado un aumento significativo de campañas que usan documentos con la extensión .one, mediante adjuntos de correo electrónico y enlaces para enviar malware a organizaciones objetivo en todo el mundo, incluida Europa.
Mientras que el pasado diciembre solo se observaron seis campañas con este tipo de adjuntos para distribuir el malware AsyncRAT, en enero de este año se han observado más de 50 campañas que distribuían siete tipos diferentes de cargas maliciosas: Redline, AgentTesla, Quasar RAT, XWorm, Netwire, DOUBLEBACK y Qbot. El aumento en el número total de campañas y la diversidad de payloads sugieren que son múltiples grupos de ciberdelincuentes los que están utilizando OneNote. Solo una de las campañas se pudo atribuir al grupo TA577, pero el resto no se han podido relacionar todavía con ningún grupo conocido.
Las campañas observadas comparten características similares, aunque los asuntos de los mensajes y los remitentes varían. Casi todas utilizan mensajes únicos para distribuir malware y no suelen secuestrar hilos de conversación (thread hijacking), y en el contenido de los emails es habitual encontrar temas genéricos relacionados con los negocios, como facturas, envíos, impuestos o pagas extra.
Los documentos de OneNote contienen archivos incrustados y, a menudo, ocultos tras un gráfico que parece un botón. Cuando el usuario hace doble clic en el archivo, recibe una advertencia, y si hace clic en continuar, el archivo se ejecutará. Puede tratarse de distintos tipos de ejecutables, archivos de acceso directo (LNK) o archivos de secuencia de comandos, como aplicaciones HTML (HTA) o archivos de secuencia de comandos de Windows (WSF).
“Nuestra investigación muestra cómo estos grupos está tratando de eludir creativamente las detecciones de antivirus existentes”, explican desde Proofpoint. “Cabe señalar que, para que una infección tenga éxito, el usuario final debe interactuar con el documento de OneNote e ignorar las advertencias de que el contenido podría ser malicioso. Teniendo en cuenta el aumento del uso de OneNote en las campañas y la diversidad de las payloads, es probable que veamos a más ciberdelincuentes adoptar métodos similares en el futuro”.
Por ahora, la técnica es eficaz. En el momento del análisis, varias muestras de malware de OneNote observadas no fueron detectadas por numerosos proveedores de antivirus. Como estos ataques solo tienen éxito si el destinatario abre el archivo adjunto, es imprescindible que las organizaciones eduquen a sus empleados sobre esta técnica y animen a denunciar los correos electrónicos y archivos adjuntos sospechosos.