احتیاط در مقابل فایل‌های OneNote

1402/03/21 Site Admin

آزمایشگاه McAfee اخیراً یک کمپین بدافزار جدیدی را مشاهده کرده است که از اسناد مخرب OneNote برای ترغیب کاربران به کلیک بر روی یک فایل تعبیه‌شده برای دانلود و اجرای تروجان Qakbot استفاده می‌کند.

OneNote یک برنامه نوت بوک دیجیتالی مایکروسافت است که به‌صورت رایگان قابل دانلود است. این‌یک برنامه یادداشت‌برداری است که امکان همکاری داخل سازمان‌ها را فراهم می‌کند و درعین‌حال کاربران را قادر می‌سازد فایل‌ها و دیگر مصنوعات را جاسازی کنند. به‌طور پیش‌فرض در Microsoft Office 2021 و Microsoft 365 نصب‌شده است.

عوامل مخرب همواره در تلاش‌اند تا روش‌های جدیدی برای آلودگی به قربانیان خود پیدا کنند. به‌عنوان‌مثال، پس‌ازاینکه مایکروسافت تغییری در سیاست خود اعمال کرد و به‌طور پیش‌فرض ماکروهای آفیس را غیرفعال کرد، به استفاده از فایل‌های LNK متمرکز شدند. با امکان پیوستن فایل‌ها به اسناد OneNote، این اسناد به‌عنوان جایگزینی مناسب برای فایل‌های LNK به‌عنوان وسیله‌ای برای پخش بدافزارها به کار می‌روند. این وبلاگ شامل تحلیلی است درباره نحوه استفاده مخربانه از اسناد OneNote و دو حمله خاص که از اسناد OneNote برای دانلود و اجرای بدافزار Qakbot استفاده کرده‌اند.

با توجه به داده‌های تلمتری از پایانه‌ها خانواده‌های تهدید زیر را که از طریق اسناد OneNote پخش می‌شوند، شناسایی‌شده‌اند:

IceidQakbot
RedLine
AsyncRat
Remcos
AgentTesla
QuasarRAT
XWORM
Netwire
Formbook
Doubleback

آوست Avast: یک نمای کامل از آخرین تهدیدهای سایبری و روندهای نوظهور در چشم‌انداز امنیتی را ارائه می‌دهد. تیم آزمایشگاه‌های تهدید Avast، با تجزیه‌وتحلیل داده‌های گسترده، خطرات قابل‌توجهی را که در سراسر جهان که برای افراد وجود دارد، شناسایی و مسدود می‌کند، ازجمله رشد تهدید حملات مهندسی اجتماعی. درواقع، دوسوم تشخیصات Avast در طول این فصل مربوط به فیشینگ، کلاه‌برداری یا تهدیدات آنلاین مرتبط بودند.

مروری بر اسناد مخرب OneNote

یک نمای جامع از کمپین‌های فیشینگ که از اسناد OneNote استفاده می‌کنند، در شکل زیر نشان داده‌شده است. این اسناد مخرب به‌صورت فایل‌های فشرده zip یا تصاویر ISO از طریق ایمیل‌های فیشینگ به هدف ارسال می‌شوند. مشاهده‌شده است که بیشتر اسناد مخرب دارای اسکریپت دسته‌ای ویندوز هستند که پاورشل را برای رها کردن بدافزار بر روی سیستم فراخوانی می‌کند یا اسکریپت‌های بیسیک ویژوال که همین کار را انجام می‌دهند.

OneNote

موضوع عمومی ایمیل مربوط به فاکتور یا حقوقی است. این نوع تم‌ها بیشتر توسط قربانی باز می‌شوند. نمونه متن و پیوست ایمیل در شکل‌های زیر نشان داده‌شده است.

یک بررسی عمیق در قالب فایل OneNote

برای درک نحوه ترتیب داده‌ها در فایل، باید آن را به‌صورت بایت به بایت موردبررسی قرار دهیم. نگاه دقیق به سند OneNote مشاهده جالبی به ما می‌دهد، زیرا بایت‌های جادویی برای هدر آن به‌سادگی قابل‌تشخیص نیستند. در شکل زیر، اولین ۱۶ بایت از دودویی سند نشان داده‌شده است.

۱۶ بایت اول باید به‌عنوان مقدار GUID {7B5C52E4-D88C-4DA7-AEB1-5378D02996D3} تفسیر شود. ما می‌توانیم از اسناد رسمی مشخصات OneNote برای درک همه بایت‌ها و ساختار آن استفاده کنیم. شکل زیر اطلاعات هدر گرفته‌شده از سند مشخصات OneNote را نشان می‌دهد.