-
14/01/2021
-
19
-
85 bài viết
Microsoft OneNote bị lợi dụng để phát tán mã độc
Các tổ chức trên toàn thế giới được cảnh báo về sự gia tăng số lượng các cuộc tấn công phát tán phần mềm độc hại qua Microsoft OneNote.
Là phần mềm thuộc bộ Office, OneNote thường được các tổ chức sử dụng để ghi chú, quản lý tác vụ... Lý do khiến OneNote trở thành mục tiêu tấn công bởi vì chúng không có tính năng bảo vệ Mark-of-the-Web (MOTW). Một lý do khác là file có thể được đính kèm vào OneNote và sau đó được thực thi với rất ít cảnh báo. Cách thức khai thác cũng tương tự như các tệp Office độc hại khác: Tiếp cận người dùng, lừa người dùng mở tài liệu và cho phép chỉnh sửa, dẫn đến thực thi mã độc.
Tháng 8/2022, các chuyên gia an ninh cảnh báo MOTW không được áp dụng cho các tệp đính kèm trong OneNote, nghĩa là các tệp thực thi chưa được ký hoặc tài liệu hỗ trợ macro có thể bị lợi dụng để qua mặt các biện pháp bảo vệ.
Theo WithSecure, tháng trước Microsoft đã âm thầm vá lỗ hổng này cho OneNote, tuy không triệt để nhưng cũng giảm thiểu được khả năng kẻ tấn công có thể lợi dụng đính kèm những tệp độc hại vào OneNote và thực thi chúng.
Tháng 12/2022 và tháng 1/2023, Proofpoint ghi nhận hơn 50 chiến dịch độc hại sử dụng tài liệu OneNote để đính kèm các phần mềm độc hại như AsyncRAT, AgentTesla, DoubleBack, NetWire RAT, Redline, Quasar RAT và XWorm.
Các chiến dịch bị phát hiện có quy mô khác nhau, một số nhắm mục tiêu vào một số ngành nhỏ, số còn lại nhắm tới người dùng cá nhân. Theo Proofpoint, các cuộc tấn công nhắm vào các tổ chức trên toàn thế giới tập trung ở Bắc Mỹ và Châu Âu.
Dựa trên dữ liệu trong kho lưu trữ mã độc, các tệp đính kèm độc hại không bị các công cụ diệt virus phát hiện, bao gồm: trình đánh cắp thông tin Formbook, trojan IcedID và Remcos RAT... Vì thế, kẻ tấn công có thể khai thác chủ yếu thông qua phishing email vì bộ lọc các tệp đính kèm độc hại không nhận dạng được.
Nhà nghiên cứu an ninh Marco Ramilli cho hay: Việc lợi dụng OneNote để gửi phần mềm độc hại đã diễn ra trong hơn bốn tháng. Để giảm thiểu rủi ro, người dùng không nên mở trực tiếp các tệp nhận được từ những nguồn không đáng tin cậy.
Là phần mềm thuộc bộ Office, OneNote thường được các tổ chức sử dụng để ghi chú, quản lý tác vụ... Lý do khiến OneNote trở thành mục tiêu tấn công bởi vì chúng không có tính năng bảo vệ Mark-of-the-Web (MOTW). Một lý do khác là file có thể được đính kèm vào OneNote và sau đó được thực thi với rất ít cảnh báo. Cách thức khai thác cũng tương tự như các tệp Office độc hại khác: Tiếp cận người dùng, lừa người dùng mở tài liệu và cho phép chỉnh sửa, dẫn đến thực thi mã độc.
Tháng 8/2022, các chuyên gia an ninh cảnh báo MOTW không được áp dụng cho các tệp đính kèm trong OneNote, nghĩa là các tệp thực thi chưa được ký hoặc tài liệu hỗ trợ macro có thể bị lợi dụng để qua mặt các biện pháp bảo vệ.
Theo WithSecure, tháng trước Microsoft đã âm thầm vá lỗ hổng này cho OneNote, tuy không triệt để nhưng cũng giảm thiểu được khả năng kẻ tấn công có thể lợi dụng đính kèm những tệp độc hại vào OneNote và thực thi chúng.
Tháng 12/2022 và tháng 1/2023, Proofpoint ghi nhận hơn 50 chiến dịch độc hại sử dụng tài liệu OneNote để đính kèm các phần mềm độc hại như AsyncRAT, AgentTesla, DoubleBack, NetWire RAT, Redline, Quasar RAT và XWorm.
Các chiến dịch bị phát hiện có quy mô khác nhau, một số nhắm mục tiêu vào một số ngành nhỏ, số còn lại nhắm tới người dùng cá nhân. Theo Proofpoint, các cuộc tấn công nhắm vào các tổ chức trên toàn thế giới tập trung ở Bắc Mỹ và Châu Âu.
Dựa trên dữ liệu trong kho lưu trữ mã độc, các tệp đính kèm độc hại không bị các công cụ diệt virus phát hiện, bao gồm: trình đánh cắp thông tin Formbook, trojan IcedID và Remcos RAT... Vì thế, kẻ tấn công có thể khai thác chủ yếu thông qua phishing email vì bộ lọc các tệp đính kèm độc hại không nhận dạng được.
Nhà nghiên cứu an ninh Marco Ramilli cho hay: Việc lợi dụng OneNote để gửi phần mềm độc hại đã diễn ra trong hơn bốn tháng. Để giảm thiểu rủi ro, người dùng không nên mở trực tiếp các tệp nhận được từ những nguồn không đáng tin cậy.
Nguồn: Security Week