Sådan foregår distribution af malware via OneNote

Kreativitet og menneskers svaghed er vejen ind for trusselsaktører.

Trusselsaktører har fundet en ’workaround’ til distrubution af malware, efter at Microsoft har deaktiveret makroer som standard i e-mails. Det sker via notesbogen OneNote, der ganske vist ikke understøtter makroer, men i stedet kan en bruger indsætte vedhæftede filer i en notesbog. Når der dobbeltklikkes på filen, vil den vedhæftede fil starte – i disse tilfælde er der tale om ondsindede VBS-vedhæftede filer – der automatisk starter scriptet, når der dobbeltklikkes. Dermed kan der downloades malware fra et eksternt websted.

Skjuler vedhæftede filer bag en ’klik-her’-opfordring

De vedhæftede filer ligner dog en fils ikon i OneNote, så derfor har trusselsaktørerne skjult dem ved at indsætte en stor 'Dobbeltklik for at se fil'-bjælke over de indsatte VBS-vedhæftede. Dobbeltklikker man, vil man blive advaret om, at det kan skade computer og data. En advarsel, der dog ofte ignoreres.

Ved at klikke på OK-knappen startes VBS-scriptet, hvorved malware downloades og installeres. Bleeping Computers journalist Lawrence Abrams har fået en researcher til at kigge på filerne, som har vist sig at være AsyncRAT- og Xworm, som er trojanere med fjernadgang. I et andet tilfælde er der set vedhæftet en Quasar Remote Access-trojaner, hvilket giver trusselsaktører fjernadgang til et offers enhed. Herved kan der stjæles filer, adgangskoder i browserens passwordmanager, tages skærmbilleder og i nogle tilfælde endda optages video ved hjælp af webcams. Eller stjæle kryptovalura.

Åbn ikke filer

Hvad kan man gøre? Som Bleeping Computer skriver det, så er den bedste måde at beskytte sig selv på ikke at åbne filer fra personer, man ikke kender. Men hvis alligevel man gør det, skal man ikke se bort fra operativsystemet eller programmets advarsler, men lukke programmet og starte forfra. Er man stadig i tvivl, er det bedst at lade være med overhovedet at åbne den eller få hjælp af en sikkerhedsekspert eller administrator.

Links:

https://www.bleepingcomputer.com/news/security/hackers-now-use-microsoft...

Keywords: