Posté le janvier 21, 2023 à 5:47
LA DERNIÈRE TENDANCE DES HACKERS EST D’UTILISER LES PIÈCES JOINTES DE MICROSOFT ONENOTE
Il semble que la dernière innovation des acteurs de menaces consiste à utiliser les pièces jointes de Microsoft OneNote. Ces pièces jointes sont utilisées dans l’e-mail de phishing standard, permettant aux acteurs malveillants d’injecter dans les systèmes des logiciels malveillants d’accès à distance. À partir de là, il suffit de voler des mots de passe, des portefeuilles de cryptomonnaie ou d’installer encore plus de logiciels malveillants.
Une nouvelle menace se profile à l’horizon
Un rapport de Bleeping Computer révèle que les auteurs de menaces se sont tournés vers Microsoft OneNote, un logiciel gratuit ajouté à Microsoft Office et à Micrisoft365. Il s’installe par défaut. Même si les utilisateurs n’utilisent pas le logiciel, il reste généralement installé sur les systèmes, ce qui permet d’utiliser le format de fichier en cas de besoin.
La menace de logiciels malveillants transmis par des pièces jointes OneNote avait déjà été documentée en décembre 2022. Les investigations de BleepingComputer avaient permis de découvrir divers échantillons. Ils ont découvert des e-mails de phishing malveillants sous la forme de documents d’expédition, de notifications d’expédition DHL, de dessins mécaniques, ainsi que de formulaires de versement ACH.
Évolution après les correctifs précédents
Par le passé, les acteurs malveillants utilisaient les pièces jointes de Microsoft Word ou Excel pour installer des logiciels malveillants, en utilisant les fonctions de macros de ces programmes afin de forcer les systèmes à télécharger des logiciels malveillants. Cela a toutefois changé en juillet. Microsoft a procédé à un changement qui a désactivé les macros par défaut dans ses différentes suites. Puisque les macros étaient désactivées par défaut, les acteurs de la menace ont dû s’adapter à cette méthode de diffusion de logiciels malveillants désormais peu fiable.
L’étape suivante de leurs innovations a été l’utilisation de fichiers ZIP et ISO protégés par un mot de passe. Pendant un certain temps, c’était la « norme de référence » pour les acteurs de la menace, car un bug dans les systèmes Windows permettait aux ISO, en particulier, de contourner les avertissements de sécurité. Toutefois, ces deux failles sont désormais colmatées grâce à la simple inclusion d’une notification d’avertissement bien visible et effrayante si un utilisateur tente d’ouvrir un fichier sur des ZIP et des ISO téléchargés.
Les stratégies standard avec la nouvelle peinture
Par rapport aux stratégies précédentes, OneNote ne prend pas en charge les macros. La méthode privilégiée de diffusion de logiciels malveillants avec OneNote semble être l’insertion de pièces jointes dans les blocs-notes. Lorsque ces pièces jointes sont doublement cliquées, les acteurs de la menace peuvent exécuter des pièces jointes VBS malveillantes en arrière-plan qui permettent le téléchargement et l’installation de logiciels malveillants à distance.
Pour tenter d’augmenter leurs chances, BleepingComputer a souligné qu’ils ajoutent une série de pièces jointes malveillantes aux e-mails, dans l’espoir de vous attraper d’un double clic, un peu comme quelqu’un qui jette un filet dans un étang pour attraper un poisson.
Heureusement, avant d’ouvrir OneNote, l’application avertit ses utilisateurs que le lancement d’un fichier peut potentiellement causer des dommages à leur système. Toutefois, à moins d’avoir bien été formés, la plupart des gens ignorent généralement ces messages lorsqu’ils y sont invités.
Les logiciels malveillants OneNote sont principalement des chevaux de Troie
BleepingComputer rapporte que dans les spams malveillants que son équipe a rencontrés, les pièces jointes malveillantes de OneNote installaient des chevaux de Troie d’accès à distance (RAT). Ces chevaux de Troie comprennent généralement une fonctionnalité permettant de voler des informations.
James, chercheur en cybersécurité, a également tweeté à ce sujet, recommandant à ses auditeurs de bloquer les fichiers .one sur leurs passerelles de messagerie/périmètre respectives.
Les RAT permettent aux acteurs malveillants d’accéder à distance au système d’une victime, ce qui leur permet de voler les mots de passe et les fichiers enregistrés, et même de faire des captures d’écran. Dans certains cas, il donne même aux acteurs malveillants la possibilité d’enregistrer des flux vidéo par le biais de caméras. Ces types de logiciels sont généralement utilisés pour voler des portefeuilles de cryptomonnaies à notre époque. Comme on peut l’imaginer, cela peut entraîner des pertes massives pour la victime.
Une évolution de plus chez les acteurs de menaces
La pratique standard pour éviter cela est assez simple : N’ouvrez pas les fichiers qui vous sont envoyés par des sources auxquelles vous ne faites pas entièrement confiance. C’est aussi simple que cela. Bien que des erreurs puissent se produire, la plupart des programmes émettent des avertissements avant d’ouvrir des fichiers provenant de sources inconnues. Il est recommandé d’écouter ces avertissements. Si tout le reste échoue, il est recommandé d’exécuter le fichier en question devant un administrateur, de préférence un administrateur de cybersécurité. Un antivirus robuste est également toujours utile.
Cette dernière innovation n’est que la prochaine évolution dans la guerre constante entre les acteurs de menaces et les experts en sécurité. Tant qu’Internet existera, il y aura ceux qui souhaitent exploiter les gens par ce biais, et ceux dont l’intérêt s’y oppose. Lorsque la faille de OneNote sera corrigée, les acteurs de la menace évolueront et découvriront un autre moyen d’infecter les systèmes des victimes avec des logiciels malveillants.
Le temps nous dira combien de temps cette nouvelle tendance durera jusqu’à la correction éventuelle, étant donné qu’il a fallu beaucoup de temps à Microsoft pour corriger les autres failles présentes dans sa propre protection.
