.
Os criminosos cibernéticos estão usando e-mails de phishing criados exclusivamente para infectar as vítimas com malware – e estão fazendo isso experimentando um novo método de entrega da carga maliciosa.
De acordo com a análise da Proofpoint, houve um aumento de ciberataques tentando entregar malware usando documentos do OneNote, um notebook digital representado por extensões .one que faz parte do pacote de aplicativos de escritório Microsoft 365.
Também: O que é phishing? Tudo o que você precisa saber para se proteger contra e-mails fraudulentos – e pior
Os pesquisadores de segurança cibernética observam que é incomum que os documentos do OneNote sejam abusados dessa maneira e há uma razão simples pela qual os invasores estão fazendo experiências com eles – porque eles podem ignorar a detecção de ameaças mais facilmente do que outros anexos. E parece estar funcionando.
“Com base nos dados de repositórios de malware de código aberto, os anexos inicialmente observados não foram detectados como maliciosos por vários mecanismos antivírus, portanto, é provável que as campanhas iniciais tenham uma alta taxa de eficácia se o e-mail não foi bloqueado”, disse Proofpoint ao Strong The One.
“Desde que a Microsoft começou a bloquear macros por padrão em 2022, os agentes de ameaças experimentaram muitas novas táticas, técnicas e procedimentos (TTPs), incluindo o uso de tipos de arquivo anteriormente observados com pouca frequência, como disco rígido virtual (VHD), HTML compilado (CHM), e agora OneNote (.one).”
Os e-mails de phishing, enviados pela primeira vez em dezembro de 2022, com o número aumentando significativamente em janeiro de 2023, estão tentando fornecer uma das várias cargas de malware diferentes, incluindo AsyncRAT, Redline, AgentTesla e Doubleback, todos projetados para roubar informações confidenciais de vítimas, incluindo nomes de usuário e senhas.
Os pesquisadores da Proofpoint também observam que um grupo cibercriminoso que eles rastreiam como TA577 também começou a aproveitar o OneNote em campanhas para fornecer o Qbot. Em vez de roubar informações para uso próprio, o TA577 atua como um corretor de acesso inicial, vendendo nomes de usuário e senhas roubados para outros criminosos cibernéticos, incluindo gangues de ransomware.
Até agora foram detectadas mais de 60 dessas campanhas e todas compartilham características semelhantes, com e-mails e anexos de arquivos vinculados a temas como faturas, remessas, remessas e temas sazonais, como informações sobre um bônus de Natal, entre outros.
Por exemplo, uma mensagem de phishing enviada a alvos nos setores de manufatura e industrial incluía nomes de anexos relacionados a peças e especificações de máquinas, indicando que um alto nível de pesquisa foi feito para criar a isca.
Outras campanhas do OneNote são um pouco mais genéricas e enviadas para milhares de vítimas em potencial de uma só vez. Uma destas campanhas visava o setor da educação com faturas falsas, enquanto outra era mais difundida, alegando oferecer um presente ou bónus de Natal a milhares de potenciais vítimas.
Também: O que é phishing? Tudo o que você precisa saber para se proteger contra e-mails fraudulentos – e pior
Em cada caso, o ataque de phishing depende da vítima abrir o e-mail, abrir o anexo do OneNote e clicar em links maliciosos. Embora o OneNote ofereça uma mensagem de aviso sobre links suspeitos, os usuários que receberam um e-mail especificamente criado para apelar diretamente para eles – ou acham que podem estar recebendo um bônus – podem tentar ignorar esse aviso.
Os pesquisadores alertam que é provável que essas campanhas tenham uma alta taxa de sucesso se os e-mails não forem bloqueados – e que mais grupos de ameaças cibernéticas provavelmente adotarão essa técnica para fornecer campanhas de phishing e malware com sucesso.
“A Proofpoint tem observado cada vez mais os anexos do OneNote sendo usados para entregar malware. Com base em nossa pesquisa, acreditamos que vários agentes de ameaças estão usando anexos do OneNote na tentativa de contornar as detecções de ameaças”, disseram os pesquisadores, que alertam que isso é “preocupante” porque, como demonstrado pelo TA577, essa tática pode se tornar um ponto de entrada inicial para a distribuição de ransomware, o que pode prejudicar toda uma organização e rede.
Além disso: o e-mail é nossa maior ferramenta de produtividade. É por isso que o phishing é tão perigoso para todos
No entanto, embora os ataques de phishing sejam uma ferramenta eficaz para criminosos cibernéticos, a vítima não é inevitável. A Proofpoint sugere que as organizações devem empregar um filtro de spam robusto que evite que essas mensagens cheguem às caixas de entrada das pessoas, e que as organizações devem educar os usuários finais sobre essa técnica e incentivá-los a relatar e-mails e anexos suspeitos.
O Strong The One abordou a Microsoft para comentar, mas ainda não recebeu uma resposta no momento da publicação.
MAIS SOBRE SEGURANÇA CIBERNÉTICA
.
