Une patate chaude : Les acteurs de la menace incluent des pièces jointes OneNote dans leurs e-mails de phishing pour infecter les victimes avec des logiciels malveillants d’accès à distance qui peuvent être utilisés pour voler des mots de passe ou même accéder à des portefeuilles de crypto-monnaie. Les pièces jointes Word et Excel malveillantes qui lancent des macros pour télécharger et installer des logiciels malveillants sont utilisées depuis des années par des attaquants pour distribuer des logiciels malveillants par e-mail. Cependant, Microsoft a finalement désactivé les macros par défaut dans les documents Office en 2022, rendant cette technique de distribution de virus inefficace.

L’utilisation des pages Microsoft OneNote pour diffuser des logiciels malveillants aux utilisateurs imprudents est en augmentation selon les experts en sécurité. Les chercheurs de Proofpoint affirment avoir trouvé six campagnes en décembre 2022 qui a utilisé OneNote pour distribuer le malware AsyncRAT dans une étude approfondie. Moins d’un mois plus tard, ils ont détecté plus de 50 campagnes en janvier 2023. Le même mois, un acteur malveillant appelé TA577 a commencé à distribuer Qbot via OneNote.

XWorm, Qakbot, BATLOADER, Agent Tesla, DOUBLEBACK, Quasar RAT, AsyncRAT, RedLine Stealer et FormBook sont quelques familles de logiciels malveillants bien connues qui utilisent cette méthode de diffusion.

Les fichiers OneNote permettent aux utilisateurs d’insérer des pièces jointes susceptibles de télécharger des logiciels malveillants à partir d’emplacements distants. Le rapport indique que les pirates distribuaient des ordinateurs portables avec des messages tels que “facture, versement, expédition et thèmes saisonniers comme le bonus de Noël”, trompant leurs cibles en leur faisant croire que le contenu était sécurisé.

2023 02 06 image 7

Parfois, les incitations au phishing par e-mail contiennent un fichier OneNote, qui intègre un fichier HTA qui lance un script PowerShell pour récupérer une charge utile malveillante à partir d’un serveur distant. Dans d’autres scénarios, un VBScript malveillant intégré dans la page OneNote et masqué par une image qui semble être un bouton utile est exécuté. Le VBScript, quant à lui, est conçu pour exécuter le script Doubleback PowerShell.

Même si le courrier électronique reste la méthode la plus courante de propagation des logiciels malveillants, la restriction des macros a le double effet de réduire la surface d’attaque et d’augmenter les frais généraux associés à la conduite d’une attaque. Mais d’autres stratégies ont également gagné en popularité en masquant un code malveillant. Le RAT Ekipa (cheval de Troie d’accès à distance) et d’autres portes dérobées ont également été distribués via des macros Microsoft Publisher et des fichiers de complément Excel (XLL) comme vecteurs d’attaque.

Les chercheurs de Proofpoint pensent que la popularité de OneNote parmi les pirates est le résultat d’une enquête approfondie. OneNote, qui fait partie de la suite Microsoft Office mais qui est également désormais proposé gratuitement en tant que programme autonome, a été choisi après quelques essais et erreurs avec plusieurs types de pièces jointes, car les taux de détection ont été faibles jusqu’à présent.