Emotet, Qakbot, Remote Access Trojan (RAT) — chúng có điểm gì chung? —Tất cả chúng đều được gửi qua các tệp Microsoft Office OneNote.
Khi Microsoft vô hiệu hóa macro theo mặc định vào năm 2022, những kẻ tấn công đã chuyển sang sử dụng các cơ chế phân phối không dựa trên macro — và tệp OneNote khiêm tốn là sự thay thế hoàn hảo.
là tệp OneNote Secure?
OneNote là một ứng dụng năng suất phổ biến trong bộ Microsoft Office được hàng triệu người trên toàn thế giới sử dụng. Do tính linh hoạt của nó, OneNote đã trở thành một công cụ thuận tiện để ghi chú, quản lý thông tin và thật không may, phân phối phần mềm độc hại.
OneNote sử dụng loại tệp độc quyền, được biểu thị bằng phần mở rộng tệp .one, cho phép người dùng định dạng ghi chú bằng văn bản đa dạng thức, chữ viết tay kỹ thuật số và đối tượng, bao gồm hình ảnh và đa phương tiện. Mặc dù các tệp OneNote không độc hại, tin tặc khai thác sự phức tạp của chúng để phát tán phần mềm độc hại bằng cách nhúng các lệnh độc hại vào tệp. Các lệnh này có thể tải phần mềm độc hại xuống thiết bị của người dùng, dẫn đến hậu quả tàn khốc như mất dữ liệu, thiết bị bị xâm nhập, đánh cắp danh tính hoặc gian lận tài chính.
OneNote đang trở nên phổ biến và dễ tiếp cận hơn, tiếc là mọi người không biết về các rủi ro bảo mật. Sự thiếu nhận thức này khiến kẻ tấn công dễ dàng nhúng các lệnh độc hại vào các tệp OneNote và lừa người dùng cài đặt phần mềm độc hại.
Kỹ thuật tấn công: Chiến dịch Phân phối Phần mềm độc hại trên OneNote
Tác nhân đe dọa sử dụng các kỹ thuật kỹ thuật xã hội khác nhau để phát tán phần mềm độc hại bằng cách sử dụng tệp OneNote. Thủ đoạn của họ thường liên quan đến lừa đảo qua email và ngụy trang một payload độc hại dưới một thành phần OneNote hợp pháp.
Hình ảnh
Các nhà nghiên cứu bảo mật đã xác định được một chiến dịch vào tháng 2/2023 sử dụng hình ảnh độc hại để phát tán phần mềm độc hại Qakbot (còn được gọi là QBot). Những kẻ tấn công lừa người dùng nhấp đúp vào một yếu tố thiết kế trong tài liệu OneNote. Khi mục tiêu nhấp đúp vào phần tử, một tệp nhúng đã thực hiện một loạt các lệnh tải xuống và cài đặt phần mềm độc hại trên thiết bị đích. Chiến dịch này là một ví dụ về những kẻ tấn công dụ dỗ người dùng không nghi ngờ tải xuống phần mềm độc hại trên hệ thống của họ thông qua các tệp OneNote.
Ảnh mẫu về cách kẻ tấn công có thể ẩn tập lệnh độc hại dưới thư trong OneNote
Tệp đính kèm và chiến dịch lừa đảo qua email
Trong một chiến dịch khác, những kẻ tấn công đã gửi email chuỗi trả lời với các tệp đính kèm OneNote độc hại được ngụy trang dưới dạng tài liệu hợp pháp (ví dụ: hướng dẫn, hóa đơn và các tài liệu khác). Sử dụng một kỹ thuật tương tự như trên, kẻ tấn công đã ẩn một VBScript bị xáo trộn nặng nề trong các tệp đính kèm này và khi được thực thi, nó đã tải xuống và cài đặt phần mềm độc hại Emotet trên thiết bị của nạn nhân dưới dạng thư viện liên kết động (DLL). Phần mềm độc hại Emotet rất nguy hiểm vì nó chạy lặng lẽ trên thiết bị bị xâm nhập, đánh cắp thông tin bí mật (email, danh bạ) hoặc chờ lệnh từ máy chủ điều khiển, chẳng hạn như tải xuống các tải trọng bổ sung.
Để đối phó với các cuộc tấn công của OneNote, Microsoft đã chặn người dùng mở một tệp nhúng có tiện ích mở rộng nguy hiểm bắt đầu từ phiên bản 2304 vào tháng 4/2023. OneNote hiển thị hộp thoại hạn chế khả năng mở tệp của người dùng, nhưng người dùng vẫn có thể mở nó bằng cách bấm vào "OK".
Siêu kết nối nhúng
Bên cạnh việc khai thác các tệp đính kèm, kẻ tấn công có thể sử dụng URL, siêu liên kết hoặc hình ảnh trong tệp OneNote để phát tán phần mềm độc hại. Chiến thuật kỹ thuật xã hội của họ khác nhau, nhưng mục tiêu cuối cùng là để nạn nhân thực hiện một tải trọng độc hại.
Ngăn chặn Phân phối Phần mềm độc hại OneNote bằng Giải giáp và Tái thiết Nội dung
Công nghệ OPSWAT Deep Content Disarm and Reconstruction ( Deep CDR ) xử lý mọi tệp và thành phần tệp như các mối đe dọa tiềm ẩn. Khi xử lý các tệp phức tạp như OneNote, điều quan trọng là phải đảm bảo không có thành phần độc hại nào bị che khuất khỏi tầm nhìn—cho dù đó là tập lệnh ẩn sau hình ảnh, siêu liên kết ngụy trang hay phần mềm độc hại ẩn trong một trong các tab của sổ ghi chép. Tìm hiểu về tất cả các loại tệp mà Deep CDR hỗ trợ .
Deep CDR kiểm tra tệp OneNote và bất kỳ tệp đính kèm, hình ảnh hoặc thành phần nào khác. Sau đó, Làm sạch chúng theo cách đệ quy và xóa bất kỳ nội dung nào có khả năng gây hại. Trong cùng một lần quét, Công nghệ OPSWAT Metascan tận dụng nhiều công cụ diệt vi-rút để phát hiện phần mềm độc hại bên trong tệp.
Deep CDR phát hiện đối tượng độc hại trong tệp OneNote
Cuối cùng, Deep CDR tạo lại một tệp OneNote an toàn, không có đối tượng độc hại, đồng thời vẫn giữ nguyên chức năng ban đầu của tệp. Deep CDR loại bỏ mọi mối đe dọa đã biết và chưa biết, giúp tập tin an toàn khi sử dụng.
Dưới đây là MetaDefender Core Kết quả quét:
Tập tin được tái tạo bởi Deep CDR an toàn khi sử dụng
Một lưu ý cuối cùng: Các phương pháp hay nhất để bảo vệ tệp của bạn
Để ngăn chặn các cuộc tấn công mạng lạm dụng tệp OneNote, hãy xem xét thực hiện các biện pháp bảo mật sau:
- Hãy thận trọng với email và tệp đính kèm: Hãy thận trọng khi nhận email có tệp đính kèm OneNote, đặc biệt là từ những người gửi không xác định hoặc đáng ngờ. Nếu nguồn chưa được xác minh hoặc có vẻ đáng ngờ, hãy tránh mở tệp đính kèm.
- Luôn cập nhật phần mềm: Hacker thường khai thác lỗ hổng trong các ứng dụng phần mềm để cài đặt phần mềm độc hại trên thiết bị. Mặc dù Microsoft đã liên tục tăng cường bảo vệ chống lại việc khai thác lỗ hổng, những kẻ tấn công mạng vẫn có thể nhắm mục tiêu vào các tổ chức sử dụng các phiên bản phần mềm cũ hơn, chưa được vá. Để chống lại điều này, hãy cập nhật hệ điều hành, phần mềm chống vi-rút và tất cả các ứng dụng có liên quan. Thường xuyên áp dụng các bản cập nhật phần mềm đảm bảo bảo vệ hệ thống của bạn chống lại các lỗ hổng đã biết.
- Hãy thận trọng với các nối kết trong tệp OneNote: Tương tự như tệp đính kèm email, hãy thận trọng khi mở liên kết trong tệp OneNote. Các liên kết này có thể dẫn đến các trang web độc hại có thể lây nhiễm phần mềm độc hại cho thiết bị của bạn. Chỉ mở các liên kết từ các nguồn đáng tin cậy và đảm bảo trang web bạn đang truy cập là hợp pháp và an toàn.
- Bảo vệ chống vi-rút: Sử dụng phần mềm chống vi-rút có uy tín để quét mọi tệp đến để tìm phần mềm độc hại đã biết và chưa biết. Để cải thiện hiệu quả, sử dụng nhiều công cụ chống vi-rút sẽ tăng tỷ lệ phát hiện phần mềm độc hại so với sử dụng một công cụ duy nhất. Tìm hiểu về công nghệ Công nghệ nâng cao nhận dạng mã độc với đa ứng dụng xử lý OPSWAT .
- Xóa tất cả các đối tượng có khả năng gây hại: Các biện pháp bảo mật như Deep CDR giúp các tổ chức tự bảo vệ mình khỏi các công nghệ phần mềm độc hại tiên tiến và khó phát hiện, bao gồm cả các mối đe dọa đã biết và chưa biết, các mối đe dọa zero-day và phần mềm độc hại không thể phát hiện và bị che giấu. Việc coi mọi tệp là mối đe dọa tiềm ẩn sẽ giúp giảm nguy cơ vô tình thực thi mã độc hại.
Để tìm hiểu thêm về Công nghệ OPSWAT phát hiện và ngăn chặn mối đe dọa, liên hệ với một trong những chuyên gia kỹ thuật của chúng tôi.
Liên hệ với các chuyên gia của chúng tôi
