Фишеры переходят с вредоносных ISO- и ZIP-вложений на Microsoft OneNote

Фишеры переходят с вредоносных ISO- и ZIP-вложений на Microsoft OneNote

Фишеры переходят с вредоносных ISO- и ZIP-вложений на Microsoft OneNote

Будьте бдительны: киберпреступники теперь используют вложения в формате OneNote при рассылке фишинговых писем. Задача злоумышленников в рамках этой кампании — установить вредоносную программу, открывающую доступ к устройству.

Опасными вложениями в виде документов Word и Excel уже давно никого не удивишь. Пользователи стали подозрительнее относиться к таким «аттачам». В подобных рассылках макросы помогали атакующим загружать и устанавливать трояны.

В начале прошлого года Microsoft пообещала уничтожить вектор доставки вредоносов через макросы в Office, однако уже в декабре 2022-го киберпреступники начали обходить новые меры безопасности через XLL-формат.

На этом фишеры также не остановились, приспособившись к использованию ISO- и VHD-вложений, а также защищённых паролем архивов в формате ZIP. Как известно, такие контейнеры помогают обходить антивирусы и защитный механизм Windows — MotW.

Но и здесь разработчики постарались максимально затруднить атаки: в 7-Zip и Windows недавно появились предупреждения о возможной опасности при запуске файлов ISO или ZIP. Именно поэтому злоумышленники переключились на вложения в виде Microsoft OneNote.

OneNote удобно для фишеров тем, что это приложение по умолчанию входит в пакет Microsoft Office / 365. Даже если владелец устройства на пользуется этим софтом, при открытии соответствующего файла запустится Microsoft OneNote.

Ряд исследователей в области кибербезопасности уже предупреждал о рассылках вложений в формате OneNote. Обнаруженные BleepingComputer образцы писем были замаскированы под уведомления от международной компании DHL, занимающейся доставкой грузов и документов.

 

OneNote не поддерживает макросы, как Word и Excel, однако позволяет поместить вредоносный аттач в NoteBook. При запуске файла стартовать будет и вредоносная составляющая. Поэтому злоумышленники помещают VBS-вложения, автоматически запускающие скрипт, а также скачивающие и устанавливающие вредоносную программу на компьютер жертвы.

 

К счастью, при запуске OneNote софт должен предупреждать пользователя о возможных рисках, однако практика показывает, что юзеры в большинстве случаев просто жмут OK.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Контроль 24/7: Ростелеком и Солар обновили сервис мониторинга утечек данных

«Ростелеком» совместно с группой компаний «Солар» обновил сервис, который позволяет отслеживать утечки персональных данных. Теперь он работает круглосуточно и сразу сообщает абоненту, если его данные оказались в открытом доступе. Это помогает вовремя отреагировать и снизить риск мошенничества или других проблем.

Проверке можно подвергнуть не только информацию из личного кабинета, но и до пяти дополнительных номеров телефона или адресов электронной почты.

Если данные «всплывают» в сети, пользователь получает уведомление, а вместе с ним — рекомендации, например, поменять пароли или принять другие меры.

В отчёте, который формируется при срабатывании сервиса, указывается источник утечки, дата инцидента и тип скомпрометированной информации — при этом личные данные маскируются. Это помогает понять, что именно оказалось под угрозой и насколько серьёзна ситуация.

Скоро у абонентов «Ростелекома» появятся и дополнительные инструменты для онлайн-защиты.

По словам представителей компаний, с такими сервисами пользователи могут не только узнавать о потенциальных угрозах, но и вовремя принимать меры. В условиях, когда утечки данных стали обычным делом, это особенно важно — как для самих пользователей, так и для их близких.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru