انتشار بدافزار، این بار با استفاده از فایل‌های ضمیمه برنامه OneNote مایکروسافت

به گزارش کارگروه حملات سایبری سایبربان؛ بازیگران مخرب در حال حاضر با استفاده از ضمایم OneNote (وان نوت) موجود در ایمیل های فیشینگ آلوده کننده قربانیان، اقدام به نصب بدافزار و سرقت پسورد یا حتی کیف پول های ارز دیجیتال می کنند.

این اتفاق پس از انتشار بدافزار در ایمیل های استفاده کننده از ضمایم ورد و اکسل آلوده به وقوع می پیوندد. این ضمایم قادر به راه اندازی ماکروهایی هستند که سالیان سال بدافزار، دانلود و نصب می کنند. 

اگرچه، مایکروسافت نهایتا در ماه جولای به صورت پیش فرض ماکروها را در اسناد آفیس غیر فعال و این روش انتشار بدافزار را تقریبا خنثی کرد. 

طولی نکشید که بازیگران مخرب شروع به استفاده از فرمت های جدیدتری از فایل های کردند. (به عنوان مثال می توان به فایل های زیپ پسورد دار و تصاویر ISO اشاره کرد) اما این روش هم با مقابله مایکروسافت و ویندوز مواجه شد.

بنابراین بازیگران مخرب به سرعت به استفاده از فرمت فایل جدیدی در ضمایم اسپم مخرب خود روی آوردند: ضمایم مایکروسافت وان نوت

مایکروسافت وان نوت یک اپلیکیشن نوت بوک دیجیتال برای دسکتاپ است که می توان به صورت رایگان آن را دانلود کرد. این اپلیکیشن به صورت پیش فرض در مایکروسافت آفیس 2019 و مایکروساف 365 موجود است. 

محققین امنیت سایبری از اواسط ماه دسامبر در مورد انتشار ایمیل های اسپم مخرب حاوی ضمایم وان نوت توسط بازیگران مخرب هشدار دادند. 

طبق نمونه‌های بررسی‌شده در BleepingComputer این ایمیل‌های ناخواسته وانمود می‌کنند که اعلان‌های DHL، صورت‌حساب‌ها، فرم‌های حواله‌ی ACH، نقشه‌های مکانیکی و اسناد حمل‌ونقل هستند.

وان‌نوت برخلاف ورد و اکسل از ماکروها پشتیبانی نمی‌کند و به‌همین دلیل عوامل تهدید از قبل اسکریپت‌هایی را برای نصب بدافزارها اجرا می‌کنند. این برنامه به‌کاربران اجازه می‌دهد پیوست‌های ایمیل‌های دریافتی را در یک دفترچه‌ی دیجیتال قرار دهند که با دوبار کلیک روی آن، باز خواهد شد.

عوامل تهدید با پیوست کردن فایل‌های آلوده‌ی VBS که اسکریپت جاسازی شده در آن‌ها، با دوبار کلیک برای دانلود ازطریق و‌ب‌سایت راه‌اندازی می‌شود، از این ویژگی بهره می‌برند.

به‌هرحال، پیوست‌ها در وان‌نوت مثل نماد فایل به‌نظر می‌رسند و بنابراین عوامل تهدید، نوار بزرگ دابل‌کلیک را روی پیوست‌های VBS قرار می‌دهند تا از دید کاربر پنهان بمانند.

وقتی نوار کلیک برای مشاهده‌ی سند حذف شود، مشاهده خواهید کرد فایل پیوست مخرب، خود شامل چندین ضمیمه‌ی دیگر است. این ردیف از پیوست‌ها باعث می‌شود با دابل‌کلیک کاربر در هرنقطه‌ای از نوار فایل، ضمیمه‌ی آلوده‌ی آن راه‌اندازی شود.

البته هنگام اجرای پیوست‌ها در برنامه‌ی OneNote، هشداری دریافت خواهید کرد که اعلام می‌کند اینکار می‌تواند به رایانه و داده‌های شما آسیب بزند. البته تجربه نشان می‌دهد کاربران معمولاً این نوع هشدارها را نادیده می‌گیرند و فقط آن را تأیید می‌کنند.

با کلیک روی دکمه‌ی OK در هشدار امنیتی وان‌نوت، اسکریپت VBS برای دانلود و نصب بدافزار اجرا خواهد شد. همان‌طور که در یکی از فایل‌های مخرب VBS در این برنامه مشاهده شده است، اسکریپت موردنظر دوفایل را از سرور راه‌دور دانلود و سپس اجرا می‌کند.

اولین موردی که مشاهده می شود، یک سند فریبنده درمورد OneNote است که به سند موردانتظار شما شباهت دارد. بااین‌حال، فایل VBS همچنین یک فایل مخرب دیگر را در پس‌زمینه‌ی کامپیوتر اجرا خواهد کرد تا بدافزار نهایی را ازطریق آن نصب کند.

BleepingComputer با بررسی ایمیل‌هایی که ضمیمه‌های آلوده دارند به این نکته پی برد که اجرای این اسکریپت‌ها، امکان دسترسی راه‌دور را دراختیار هکرها قرار می‌دهند و درنتیجه اطلاعات موجود در حافظه‌ی کامیپوتر هدف درمعرض خطر قرار خواهد گرفت.

یک محقق سایبری، موضوع انتشار بدافزار ازطریق فایل‌های ضمیمه در OneNote را تأیید و اعلام کرد نمونه‌هایی که او تجزیه‌وتحلیل کرده است، حاوی تروجان‌ دسترسی از راه‌دور AsyncRAT و XWorm بودند.

بررسی‌ یکی از فایل‌های پیوست آلوده در OneNote نشان داد ابزار تروجانی به‌نام Quasar Remote Access را روی سیستم هدف نصب می‌کند.