Киберпреступники используют созданные вручную фишинговые письма для заражения жертв вредоносным ПО - и делают это, экспериментируя с новым методом доставки вредоносной нагрузки.
Согласно анализу, проведенному компанией Proofpoint, участились случаи, когда кибератаки пытаются доставить вредоносное ПО с помощью документов OneNote - цифрового блокнота, обозначаемого расширением .one, который входит в пакет офисных приложений Microsoft 365.
Исследователи кибербезопасности отмечают, что документы OneNote необычно использовать таким образом, и есть одна простая причина, почему злоумышленники экспериментируют с ними - потому что они могут легче обойти системы обнаружения угроз, чем другие вложения. И, похоже, это работает.
«Основываясь на данных из открытых репозиториев вредоносного ПО, первоначально замеченные вложения не были определены как вредоносные несколькими антивирусными системами, поэтому, вероятно, первоначальные кампании имели высокий коэффициент эффективности, если электронная почта не была заблокирована» - сообщили ZDNET в компании Proofpoint.
«С тех пор как Microsoft начала блокировать макросы по умолчанию в 2022 году, злоумышленники экспериментируют с множеством новых тактик, включая использование ранее редко встречавшихся типов файлов, таких как виртуальный жесткий диск (VHD), скомпилированный HTML (CHM), а теперь и OneNote (.one».
Фишинговые письма, впервые появившиеся в декабре 2022 года, но значительно распространившиеся в январе 2023 года, пытаются доставить одну из нескольких различных вредоносных нагрузок, включая AsyncRAT, Redline, AgentTesla, и Doubleback. Все они предназначены для кражи конфиденциальной информации у жертв, включая имена пользователей и пароли.
Исследователи Proofpoint также отмечают, что группа киберпреступников, которую они отслеживают как TA577, также начала использовать OneNote в кампаниях по распространению Qbot. Вместо того чтобы красть информацию для собственного использования, TA577 действует как брокер начального доступа, продавая украденные имена пользователей и пароли другим киберпреступникам, в том числе бандам, занимающимся рассылкой шифровальщиков.
На сегодняшний день обнаружено более 60 таких кампаний, и все они имеют схожие характеристики: электронные письма и файловые вложения связаны с такими темами, как счета, денежные переводы, доставка, а также с сезонными темами, например, информацией о рождественской премии.
Например, фишинговое сообщение, разосланное объектампроизводственной отрасли, включало названия вложений, связанных с деталями машин и спецификациями, что свидетельствует о высоком уровне исследований, проведенных при создании приманки.
Другие кампании OneNote носят более общий характер и рассылаются сразу тысячам потенциальных жертв. Одна из этих кампаний была нацелена на сектор образования с фальшивыми счетами, а другая получила более широкое распространение, утверждая, что предлагает рождественский подарок или бонус тысячам потенциальных жертв.
В каждом случае фишинговая атака основана на том, что жертва открывает электронное письмо, открывает вложение OneNote и нажимает на вредоносные ссылки. Хотя OneNote предлагает предупреждение о подозрительных ссылках, пользователи, получившие специально составленное письмо с обращением непосредственно к ним - или думающие, что они могут получить бонус - могут попытаться обойти это предупреждение.
Исследователи предупреждают, что, скорее всего, такие кампании имеют высокий процент успеха, если электронные письма не блокируются, и что все больше групп киберугроз могут перенять эту технику для успешного проведения фишинговых и вредоносных кампаний.
«Компания Proofpoint все чаще замечает, что вложения OneNote используются для распространения вредоносных программ. Основываясь на результатах наших исследований, мы считаем, что многие угрозы используют вложения OneNote в попытке обойти обнаружение угроз» - заявили исследователи, предупредив, что это «вызывает беспокойство», поскольку, как продемонстрировал TA577, такая тактика может стать начальной точкой входа для распространения шифровальщиков, которое может вывести из строя целую организацию и ее сеть.
Однако, несмотря на то, что фишинговые атаки являются эффективным инструментом киберпреступников, падение жертвы не является неизбежным. Компания Proofpoint предлагает организациям использовать надежный спам-фильтр, который предотвращает попадание таких сообщений в почтовые ящики, а также обучать конечных пользователей этой технике и поощрять их сообщать о подозрительных письмах и вложениях.
Источник: https://is-systems.org