Кіберзлочинці випробовують новий метод, щоб забезпечити успішність фішингових атак. Ось чого варто остерігатися.
Кіберзлочинці використовують унікально створені фішингові електронні листи , щоб заразити жертв зловмисним програмним забезпеченням, і роблять це, експериментуючи з новим методом доставки зловмисного корисного навантаження.
Згідно з аналізом Proofpoint , спостерігається зростання кількості кібератак, які намагаються розповсюдити зловмисне програмне забезпечення за допомогою документів OneNote, цифрового блокнота з розширеннями .one, який є частиною набору офісних програм Microsoft 365 .
Читайте також: Про фішинг в ілюстраціях: практичні кроки з цифрової безпеки
Дослідники кібербезпеки відзначають, що таким чином зловживати документами OneNote незвично, і є одна проста причина, чому зловмисники експериментують із ними: вони можуть легше обійти виявлення загроз, ніж інші вкладення. І, здається, це працює.
«Грунтуючись на даних у сховищах зловмисного програмного забезпечення з відкритим кодом, спочатку спостережувані вкладення не були виявлені кількома антивірусними механізмами як шкідливі, тому, ймовірно, початкові кампанії мали високий рівень ефективності, якщо електронна пошта не була заблокована», — розказали в Proofpoint.
«З тих пір , як у 2022 році Microsoft почала блокувати макроси за замовчуванням, зловмисники експериментували з багатьма новими тактиками, техніками та процедурами (TTP), включаючи використання типів файлів, які раніше рідко спостерігалися, таких як віртуальний жорсткий диск (VHD), скомпільований HTML (CHM), і тепер OneNote (.one).”
Фішингові електронні листи , вперше надіслані в грудні 2022 року, кількість яких значно зросла в січні 2023 року, намагаються доставити одне з кількох різних шкідливих програм, зокрема AsyncRAT , Redline , AgentTesla та Doubleback , усі з яких призначені для викрадення конфіденційної інформації з жертв, включаючи імена користувачів і паролі.
Дослідники Proofpoint також відзначають, що група кіберзлочинців, яку вони відслідковують як TA577, також почала використовувати OneNote у кампаніях для доставки Qbot . Замість того, щоб викрадати інформацію для власного використання, TA577 діє як посередник початкового доступу, продаючи вкрадені імена користувачів і паролі іншим кіберзлочинцям, зокрема групам програм-вимагачів .
Наразі було виявлено понад 60 із цих кампаній, і всі вони мають схожі характеристики, з електронними листами та вкладеними файлами, пов’язаними з темами, зокрема рахунками-фактурами, грошовими переказами, доставкою та сезонними темами, такими як інформація про різдвяний бонус тощо.
Наприклад, фішингове повідомлення, надіслане цілям у виробничому та промисловому секторах, включало назви вкладень, пов’язані з деталями машини та специфікаціями, що вказувало на високий рівень досліджень, спрямованих на створення приманки.
Інші кампанії OneNote є дещо більш загальними та розсилаються тисячам потенційних жертв одночасно. Одна з цих кампаній була спрямована на сектор освіти з фальшивими рахунками-фактурами, тоді як інша була більш поширена, стверджуючи, що пропонує різдвяний подарунок або бонус тисячам потенційних жертв.
У кожному разі фішингова атака полягає в тому, що жертва відкриває електронний лист, відкриває вкладення OneNote і натискає шкідливі посилання. Незважаючи на те, що OneNote пропонує попередження про підозрілі посилання, користувачі, яким надіслано спеціально створений електронний лист для звернення безпосередньо до них (або думають, що вони можуть отримати бонус), можуть спробувати обійти це попередження.
Дослідники попереджають, що, ймовірно, ці кампанії мають високий рівень успіху, якщо електронні листи не заблоковано, і що більше груп кіберзагроз, ймовірно, застосують цю техніку для успішного проведення фішингових кампаній і кампаній зловмисного програмного забезпечення.
«Proofpoint все частіше спостерігає, як вкладені файли OneNote використовуються для доставки зловмисного програмного забезпечення. На основі нашого дослідження ми вважаємо, що кілька загроз використовують вкладені файли OneNote, намагаючись обійти виявлення загроз», — кажуть дослідники, які попереджають, що це «тривожно», оскільки, як продемонструвала TA577, ця тактика може стати початковою точкою доступу для розповсюдження програм-вимагачів , які можуть завдати шкоди всій організації та мережі.
Читайте також: Як захистити робочу пошту? Шість правил безпеки
Однак, хоча фішингові атаки є ефективним інструментом для кіберзлочинців, Proofpoint пропонує, щоб організації використовували надійний фільтр спаму, який запобігає надходженню цих повідомлень до папок “Вхідні”, і що організації повинні навчати кінцевих користувачів цій техніці та заохочувати користувачів повідомляти про підозрілі електронні листи та вкладення.
Джерело: ZDNET