Microsoft OneNote utilizado para disseminar malware

Especialistas indicam que tem havido um aumento no número de ataques que visam documentos Microsoft OneNote – tipicamente utilizado pelas organizações para tomar notas e gerir tarefas – para disseminar malware. Aqui, o OneNote revela-se um alvo atraente para os cibercriminosos pelo facto de não beneficiarem de proteção Mark-of-the-Web (MOTW), juntamente com o facto de os ficheiros poderem ser anexados a notebooks OneNote e depois executados sem avisos. 

Segundo a WithSecure, a Microsoft lançou corrigiu a capacidade de contornar os anexos do OneNote, diminuindo o potencial de abuso, sem o eliminar. Desta forma, os cibercriminosos continuaram a ter a possibilidade de incorporar ficheiros nos documentos e levar os utilizadores a executá-los.

De acordo com os especialistas, estes tipos de ataques não diferem dos que utilizam outros tipos de ficheiros do Office maliciosos. Mesmo sob diferentes pretextos, o utilizador é levador a abrir o documento e a permitir a edição, levando-o a executar o código associado. 

Só em dezembro do ano passo e janeiro deste ano, a Proofpoint observou mais de 50 campanhas maliciosas a utilizar esta estratégia, incluindo o AsyncRAT, o AgentTesla, o DoubleBack, entre outros. As campanhas têm contornos diferentes, mas focam-se em organizações a nível mundial, em particular na América do Norte e Europa. 

“Baseado nos dados em repositórios de malware open-source, anexos observados inicialmente não foram detetados como maliciosos por múltiplos antivírus, por isso é provável que campanhas iniciais tenham tido uma grande eficácia no caso do email não ter sido bloqueado”, afirma a Proofpoint citada pela SecurityWeek.