Parte do extenso conjunto de aplicações 365 da Microsoft, o Microsoft OneNote oferece aos utilizadores uma poderosa e flexível base de trabalho de gestão de informações. À medida que as organizações continuam a sua ascensão desenfreada para a nuvem, o OneNote apresenta uma ponte útil de anotações e gestão de tarefas entre as instalações da empresa, BYOD e os reinos da nuvem empresarial. No entanto, graças à ampla adoção do OneNote, os atacantes voltaram a sua atenção para a aplicação como uma via viável para a distribuição de malware.
A investigação de segurança da BleepingComputer, Trustwave e Sevagas descobriu que os agentes de ameaças estão cada vez mais a incorporar ficheiros em documentos do OneNote e a enganar os utilizadores para que os executem. Surpreendentemente, só no final de 2022 é que os anexos no OneNote foram isentos do regime de rotulagem Mark of the Web (MOTW) nativo da Microsoft, que foi efetivamente concebido para notificar o sistema operativo Windows, as aplicações e os utilizadores finais de que o ficheiro teve origem na Web e não deve ser considerado fiável por defeito.
Embora este problema de rotulagem MOTW pareça ter sido silenciosamente corrigido pela Microsoft no momento da escrita - minimizando muito os riscos associados aos ficheiros .one - infelizmente não elimina completamente o risco. Os agentes de ameaças podem incorporar uma vasta gama de tipos de ficheiros em documentos OneNote infectados, incluindo, mas não se limitando a, payloads Visual Basic Script (VBS) como anexos aparentemente inócuos. Usando engenharia social, os anexos disfarçam-se de conteúdo legítimo para empresas, incluindo facturas, desenhos mecânicos, notificações de envio da DHL, formulários de remessa e outros documentos. No entanto, os ficheiros lançam scripts maliciosos quando os utilizadores são convencidos a fazer duplo clique no malware incorporado no bloco de notas.
Porque é que estas violações ocorrem?
Na tentativa de aumentar a produtividade, a acessibilidade e a colaboração, as organizações adoptam aplicações nativas como o Microsoft OneNote para capacitar as suas forças de trabalho.
Quando as empresas de software, como a Microsoft, actualizam os seus produtos para evitar utilizações nefastas, os agentes de ameaças mudam naturalmente o seu foco e a sua estratégia para desenvolver novas técnicas de ataque que ofereçam uma maior eficácia.
Os ataques que utilizam o OneNote para a distribuição de malware são, de facto, bastante semelhantes aos que utilizam outras formas de ficheiros Office infectados: o utilizador é levado a abrir o documento e a desativar as verificações de segurança, o que resulta na execução de código malicioso.
O que torna estes ataques particularmente eficazes para os cibercriminosos é o facto de o utilizador visado interagir fisicamente com o documento infetado que está repleto de armadilhas convincentes. Afinal, embora a abertura do anexo malicioso possa gerar uma caixa de diálogo de aviso, existe ainda um elevado risco de os utilizadores a ignorarem.
Por exemplo, os atacantes utilizam botões gráficos falsos nos seus ficheiros OneNote (muito semelhantes aos botões clicáveis nativos do Windows) que aparentemente descarregam o documento solicitado, mas que, quando clicados, executam o script de malware incorporado.
Infelizmente, a engenharia social também desempenha um papel importante na eficácia destas campanhas, com as vítimas a continuarem a ser enganadas e iludidas para executarem o payload inicial e o ponto de apoio para os criminosos.
O que é que pode fazer?
Como sempre, é altamente recomendável que examine cuidadosamente os e-mails e mensagens instantâneas recebidos. Afinal de contas, ficheiros como estes podem ser distribuídos muito facilmente graças ao entrelaçamento de plataformas de colaboração como o Microsoft 365. A mesma vigilância deve ser aplicada à atividade de navegação na Web, uma vez que o conteúdo fraudulento e de risco online pode facilitar a distribuição de cargas de malware.
Considerando também o facto de os anexos de ficheiros .one serem pouco utilizados hoje em dia e considerados algo invulgares ou suspeitos, as recomendações que circulam na comunidade dos serviços secretos sugerem o bloqueio das extensões de ficheiros .one até nova ordem.
Pesquisas recentes da indústria sugerem que um número crescente de campanhas de malware abusam de documentos do OneNote para a entrega de malware, como o AgentTesla, Quasar RAT, Qbot/Quakbot e DoubleBack, entre muitos outros.
Aplicando esta informação juntamente com a base de dados pública VirusTotal, e utilizando uma amostragem aleatória de hashes associados a essas campanhas, temos algumas descobertas interessantes:
O que isto nos diz é que, mesmo nos casos em que os utilizadores foram vítimas do anexo malicioso do OneNote, o mecanismo de emulação e heurística Gateway Anti-Malware (GAM) do Skyhigh Security(anteriormente denominado McAfee-GW-Edition, conforme mostrado no VirusTotal) foi capaz de identificar e impedir que as cargas úteis contendo malware fossem recuperadas dos servidores do atacante.
Isto não quer dizer que os utilizadores devam descarregar e abrir livremente os anexos do OneNote sem precaução. No entanto, fornece uma garantia adicional de que, no infeliz caso de um utilizador ser enganado, os motores de análise do Skyhigh Securitysão capazes de identificar e condenar as ameaças associadas antes de qualquer dano adicional por parte dos agentes da ameaça.
Para os actuais clientes de Skyhigh Security , o motor Gateway Anti-Malware (GAM) está nativamente convergido na sua plataforma Security Service Edge (SSE), permitindo-lhe ser utilizado para uma gama mais vasta de casos de utilização e cenários que envolvem também conteúdos Web e da nuvem.
Com base no apetite de risco da organização, as equipas de segurança também podem tirar partido da tecnologia Remote Browser Isolation da Skyhigh Securitypara processar documentos OneNote online, se necessário, permitindo que apenas um fluxo visual de pixels seja apresentado ao utilizador sem permitir que o ficheiro OneNote seja executado no próprio dispositivo local. Deste modo, o dispositivo do utilizador fica efetivamente protegido de quaisquer ameaças contidas no documento ou nos seus anexos.
No entanto, como sempre, o melhor conselho continua a ser manter-se vigilante e proteger os seus sistemas e utilizadores, abrindo apenas mensagens e anexos de pessoas de confiança.