ProofpointCloud Security

Il malware si distribuisce (anche) tramite documenti OneNote

di pubblicata il , alle 18:01 nel canale Security Il malware si distribuisce (anche) tramite documenti OneNote

I criminali informatici sperimentano nuove tecniche per disseminare malware. Da dicembre, Proofpoint ha registrato numerose campagne di hacking che facevano leva su documenti OneNote contenenti virus, che in molti casi non venivano riconosciuti come minacce dagli antivirus

 

Le tecniche di hacking apparentemente più banali e meno sofisticate sono spesso quelle più efficaci nel superare le difese, anche evolute, delle imprese. Pensiamo al phishing, per esempio. O alla diffusione di documenti Word o PowerPoint contenenti dei malware. Una tendenza, quest'ultima, un po' sopita ultimamente, anche perché le aziende hanno meglio formato i loro dipendenti e le soluzioni di sicurezza hanno iniziato a ispezionare anche questi documenti. 

A partire dallo scorso dicembre, però, i ricercatori di Proofpoint hanno notato un importante incremento di attacchi tramite documenti OneNote. Il trucco è sempre quello: un documento spacciato per fattura, informazioni su spedizioni o simili contenente degli allegati abilmente mascherati. Che, se avviati, attivavano il payload del virus. 

L'evoluzione delle tecniche di attacco spiegata da Proofpoint

Tra dicembre 2022 e gennaio 2023, i ricercatori di Proofpoint hanno rilevato un numero crescente di attacchi informatici che sfruttavano documenti di Microsoft OneNote contenenti virus.

Malware OneNote

A dicembre, in particolare, tentavano di distribuire il malware AsyncRAT, mentre a gennaio 2023 le attività si sono intensificate e dalle 6 campagne del mese precedente si è arrivati a 50, anche con altri malware, fra cui Redline, AgentTesla e DOUBLEBACK, Qbot, Netwire e XWorm.

Secondo i ricercatori, si tratta di tentativi di eludere le difese che aveva messo in piedi Microsoft da tempo, disabilitando l'attivazione predefinita delle macro in queste applicazioni. Ecco che i criminali informatici hanno iniziato a sfruttare altri tipi di file, come i VHD, i dischi virtuali usati dalle piattaforme di virtualizzazione, i CHM (HTML compilato) e ultimamente i file con estensione .one di OneNote.

La cosa che colpisce maggiormente però è il fatto che più di una soluzione di sicurezza non è stata in grado di rilevarli. Ma come facevano gli attaccanti a nascondere codice dannoso? Il trucco consiste nel creare documenti credibili, come nel caso delle mail di phishing, legando l'esecuzione di file allegati a pulsanti presenti sul documento o mascherandoli dietro immagini: basta un doppio clic per eseguirli. Va detto che OneNote prima dell'esecuzione avvisa l'utente con un messaggio: solo dando l'OK si avvia effettivamente il programma contenente il malware. 

Malware OneNot

Secondo Proofpoint, fra i responsabili ci sarebbe il gruppo TA577, ma non è l'unico e le attività sono riconducibili a più attori

Da mesi i criminali informatici stanno testando nuove tattiche, tecniche e procedure (TTP) per diffondere malware via email", spiegano i ricercatori."La nostra ricerca mostra che queste recenti attività utilizzano documenti Microsoft OneNote per diffondere il loro contenuto dannoso, un metodo che cerca di aggirare in modo creativo i rilevamenti da parte di antivirus esistenti. Vale la pena notare che, affinché l’infezione abbia successo, l’utente deve interagire con il documento OneNote e ignorare gli avvisi che indicano che il contenuto potrebbe essere dannoso. In base all’aumento dell’uso di OneNote nelle campagne e alla diversità dei payload, è probabile che in futuro vedremo più attori adottare metodi simili nelle campagne”,

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
^