OneNote マルウェア

悪意のあるアクターは、フィッシング メールで Microsoft OneNote の添付ファイルを使用して、マルウェアを拡散しています。これらの安全でない添付ファイルには、追加の有害なペイロードのインストールやパスワードの収集に使用できるリモート アクセス マルウェアが含まれています。何年もの間、攻撃者は武器化された Word および Excel ドキュメントを電子メールで送信し、マクロを起動してマルウェアをダウンロードおよびインストールしてきました。ただし、MS Office ドキュメントのマクロを自動的にブロックするという Microsoft の決定により、ハッカーは代わりに OneNote を悪用するようになった可能性があります。現在、攻撃者は正規の形式のドキュメントに悪意のあるコンテンツを埋め込むことで改ざんしています。これにより、相互作用したときにマルウェアのダウンロード/インストール プロセスがトリガーされます。

トロイの木馬化された OneNote ファイルを介して広がる脅威のペイロード

マルウェアを含む OneNote ファイルは、通常、添付ファイルまたはダウンロード リンクを介して、スパム キャンペーンによって拡散されます。この方法で展開されることが確認された 2 つのマルウェア脅威には、 Qakbotバンキング型トロイの木馬とRedLine Stealerが含まれます。 Qakbot は金融関連の情報を標的とし、チェーン感染を開始する可能性があります。一方、RedLine Stealer は、感染したデバイスから機密データを抽出するように設計されています。

これらの侵害された OneNote ファイルの配布に使用されたスパム メールは、一般的に非個人的なものであり、件名に受信者の姓が記載されているスパム メールは一部のみです。 OneNote ファイルには HTML アプリケーション (HTA ファイル) が埋め込まれており、クリックすると正規のアプリケーションを利用してマルウェアの脅威をダウンロードおよびインストールします。配信されるペイロードは、攻撃者の特定の目的によって異なる可能性があることに注意してください。もう 1 つの注目すべき事実は、感染チェーンを開始するには、ユーザーが対話して配信された OneNote ドキュメントを開く必要があることです。

不明な電子メールやファイルを扱うときは注意してください

OneNote ファイルは、安全でないコンテンツを埋め込むことができるため、悪意のある攻撃者にとって一般的な標的になっているため、ユーザーは特に注意する必要があります。サイバー犯罪者は通常、ソーシャル エンジニアリングの手法を使用して、クラウド ストレージからファイルをダウンロードするように見える偽のボタンや「ダブルクリックしてファイルを表示」などの偽のボタンなど、疑いを持たない被害者をだまして埋め込みコンテンツをクリックさせます。これが成功した場合、プログラムの機能と攻撃者の意図によっては、あらゆるタイプのマルウェアの拡散につながる可能性があります。そのため、ユーザーはこれらの潜在的な脅威を認識し、それらから身を守るための措置を講じる必要があります。