O aparentemente inofensivo arquivo do Microsoft OneNote se tornou um formato de arquivo popular utilizado por hackers para espalhar malware e violar redes corporativas.
Para dar um pouco de contexto sobre como chegamos aos arquivos do Microsoft OneNote se tornando a ferramenta de escolha para ataques de phishing que distribuem malware, primeiro precisamos explicar como chegamos aqui.
Os atores de ameaças têm abusado de macros em documentos do Microsoft Word e Excel há anos para baixar e instalar malware em dispositivos Windows.
Depois que a Microsoft finalmente desativou as macros por padrão em documentos do Office do Word e Excel, os atores de ameaças começaram a recorrer a outros formatos de arquivo menos comumente usados para distribuir malware, como arquivos ISO e arquivos ZIP protegidos por senha.
Esses eram formatos de arquivo populares, pois um bug do Windows permitia que arquivos em imagens ISO ignorassem avisos de segurança Mark-of-the-Web (MoTW) e a popular utilidade de arquivo 7-Zip não propagava as bandeiras MoTW para arquivos extraídos de arquivos ZIP.
No entanto, depois que o 7-Zip e o Windows corrigiram esses bugs, o Windows começou a exibir novamente avisos de segurança assustadores quando um usuário tentava abrir arquivos em arquivos ISO e ZIP baixados, fazendo com que os atores de ameaças encontrassem outro formato de arquivo para usar em ataques.
Desde meados de dezembro, os atores de ameaças recorreram a outro formato de arquivo para distribuir malware - anexos do Microsoft OneNote.
Por que o Microsoft OneNote? Os anexos do Microsoft OneNote usam a extensão de arquivo '.one' e são uma escolha interessante, pois não distribuem malware por meio de macros ou vulnerabilidades.
Em vez disso, os atores de ameaças criam modelos intrincados que parecem ser um documento protegido com uma mensagem para 'clicar duas vezes' em um elemento de design para visualizar o arquivo.
O melhor caminho para impedir que anexos maliciosos do Microsoft OneNote infectem o Windows é bloquear a extensão de arquivo '.one' em seus gateways de correio seguro ou servidores de correio.
No entanto, se isso não for possível para o seu ambiente, você também pode usar políticas de grupo do Microsoft Office para restringir o lançamento de anexos de arquivo incorporados em arquivos do Microsoft OneNote.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...