.
Como as macros da Internet foram bloqueadas por padrão, vimos diferentes grupos criminosos testando novos mecanismos de distribuição de malware.
Vírus de macro têm sido um pesadelo de segurança por anos. Aparecendo pela primeira vez em 1995, eles não começaram a ganhar popularidade global até 1999, quando o vírus Melissa apareceu. O vírus Melissa foi distribuído por meio de anexos de e-mail e rapidamente se tornou o vírus de disseminação mais rápida de seu tempo, inspirando futuros tipos de correspondência em massa de malware. O vírus Melissa era tão destrutivo que seu criador mais tardecumpriu pena na prisãopor seu trabalho.
Os vírus de macro se inserem em documentos de texto e planilhas aparentemente inofensivos e, a partir daí, infectam outros documentos, se replicam de várias maneiras, enviam e-mails ou até mesmo causam danos mais catastróficos, como formatar discos rígidos. Além disso, os vírus de macro funcionam tanto para PC quanto para Mac, o que os torna ainda mais atraentes para pessoas mal-intencionadas. No entanto, em 2022, a Microsoft anunciou (antes tarde do que nunca) que bloqueará macros em arquivos da Internet.
Os cibercriminosos são criativos e não param. E, como disse o Dr. Ian Malcolm no blockbuster Parque jurassico (1993), “A vida encontra um caminho.” E os cibercriminosos também.
O dilema para os cibercriminosos é claro: uma de suas formas favoritas de distribuir malware desapareceu e eles precisam encontrar um substituto. Como as macros da Internet foram bloqueadas por padrão, vimos diferentes grupos criminosos testando novos mecanismos de distribuição de malware, e o que está ganhando força é o Microsoft OneNote. O OneNote é um aplicativo de anotações desenvolvido pela Microsoft, que permite aos usuários criar e compartilhar anotações digitais. Os arquivos do OneNote geralmente têm a extensão de arquivo “.one”. Os próprios arquivos do OneNote não são maliciosos; no entanto, eles podem ser usados para distribuir malware de maneira semelhante às macros.
Para executar esse tipo de ataque, os cibercriminosos podem disfarçar os arquivos do OneNote como documentos ou arquivos legítimos e anexá-los a e-mails. Se um destinatário abrir o arquivo do OneNote, ele pode conter um script ou código que baixa e instala malware em seu computador.
Nos últimos meses, os cibercriminosos começaram a usar anexos do OneNote em e-mails como um vetor de ataque para distribuir malware. As famílias de malware envolvidas nessas campanhas incluem Qbot, Raccoon, IceID, AsyncRAT, Redline e muito mais.
Para ilustrar a prevalência desse tipo de ameaça, fornecemos um gráfico abaixo. Ele mostra o número de usuários que protegemos diariamente contra esses ataques específicos desde 1º de janeiro até 21 de março de 2023.
Número de usuários diários Nós temos protegido contra malware do OneNote desde janeiro de 2023.
Como você pode ver, há uma tendência crescente de cibercriminosos usando anexos do OneNote em e-mails para espalhar malware. Embora o número de ataques ainda seja relativamente baixo, já protegemos mais de 47.000 clientes desses anexos maliciosos.
Por que os cibercriminosos recorreram aos arquivos do OneNote?
Para começar, eles precisavam de um substituto para as macros amplamente conhecidas e populares. Além disso, os cibercriminosos visam induzir as vítimas em potencial a abrir o anexo, disfarçando o tipo de arquivo como benigno. Ao usar um aplicativo que vem instalado por padrão com o Windows, os cibercriminosos podem atingir seu objetivo com mais facilidade.
Esta não é a primeira vez que cibercriminosos exploram um formato de arquivo desconhecido para espalhar malware. O infame vírus LoveLetter, que se espalhou por e-mails com anexos usando a extensão .vbs, causou caos em 2000. No entanto, o problema não era apenas que os usuários eram enganados para executar o malware; os sistemas e as soluções de segurança não estavam equipados para lidar com a ameaça, e o software antivírus apenas verificava em tempo real as extensões de arquivo consideradas arriscadas.
Nossa equipe está preparada para lidar com essas ameaças do OneNote com uma variedade de tecnologias sofisticadas. Nosso escudo web antivírus é capaz de escanear e descompactar arquivos do OneNote para detectar malware, e desenvolvemos heurísticas específicas e regras da Yara para essas ameaças. Nossos sistemas de back-end trabalham em coordenação para oferecer a melhor proteção possível aos nossos clientes.
Como se manter seguro contra o malware do OneNote
Embora o uso de anexos do OneNote como um mecanismo de entrega de malware seja uma nova tendência, ela pode se tornar mais difundida no futuro. Recomendamos que os usuários tenham cuidado ao receber arquivos do OneNote por e-mail ou baixá-los da Internet. Além disso, certifique-se de que seu provedor de segurança esteja equipado para lidar com essas ameaças.
.
