Фишеры переходят с вредоносных ISO- и ZIP-вложений на Microsoft OneNote

Екатерина Быстрова 23 Января 2023 - 13:05

Домашние пользователи

...

Будьте бдительны: киберпреступники теперь используют вложения в формате OneNote при рассылке фишинговых писем. Задача злоумышленников в рамках этой кампании — установить вредоносную программу, открывающую доступ к устройству.

Опасными вложениями в виде документов Word и Excel уже давно никого не удивишь. Пользователи стали подозрительнее относиться к таким «аттачам». В подобных рассылках макросы помогали атакующим загружать и устанавливать трояны.

В начале прошлого года Microsoft пообещала уничтожить вектор доставки вредоносов через макросы в Office, однако уже в декабре 2022-го киберпреступники начали обходить новые меры безопасности через XLL-формат.

На этом фишеры также не остановились, приспособившись к использованию ISO- и VHD-вложений, а также защищённых паролем архивов в формате ZIP. Как известно, такие контейнеры помогают обходить антивирусы и защитный механизм Windows — MotW.

Но и здесь разработчики постарались максимально затруднить атаки: в 7-Zip и Windows недавно появились предупреждения о возможной опасности при запуске файлов ISO или ZIP. Именно поэтому злоумышленники переключились на вложения в виде Microsoft OneNote.

OneNote удобно для фишеров тем, что это приложение по умолчанию входит в пакет Microsoft Office / 365. Даже если владелец устройства на пользуется этим софтом, при открытии соответствующего файла запустится Microsoft OneNote.

Ряд исследователей в области кибербезопасности уже предупреждал о рассылках вложений в формате OneNote. Обнаруженные BleepingComputer образцы писем были замаскированы под уведомления от международной компании DHL, занимающейся доставкой грузов и документов.

OneNote не поддерживает макросы, как Word и Excel, однако позволяет поместить вредоносный аттач в NoteBook. При запуске файла стартовать будет и вредоносная составляющая. Поэтому злоумышленники помещают VBS-вложения, автоматически запускающие скрипт, а также скачивающие и устанавливающие вредоносную программу на компьютер жертвы.

К счастью, при запуске OneNote софт должен предупреждать пользователя о возможных рисках, однако практика показывает, что юзеры в большинстве случаев просто жмут OK.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 03 Октября 2025 - 09:06

Windows Ошибки конфигурации программ Домашние пользователи Корпорации Microsoft

Microsoft Defender ошибочно помечает BIOS Dell как устаревший

У Microsoft снова проблемы с ложными срабатываниями в ИБ-продуктах. На этот раз баг затронул Defender for Endpoint: система ошибочно помечала BIOS на некоторых устройствах Dell как устаревший и настойчиво советовала обновить прошивку.

В компании признали, что причиной стала ошибка в логике проверки уязвимостей именно для Dell.

Пользователи уже начали получать ложные уведомления, и Microsoft подтвердила, что затронуты корпоративные клиенты. Фикс уже есть, сейчас его готовят к развертыванию, но когда именно и в каких регионах он появится — пока не сообщают.

Параллельно инженеры Microsoft устранили другую проблему: на macOS-устройствах после обновления 29 сентября появлялись «чёрные экраны смерти». Оказалось, что сбой был вызван конфликтом в Apple Enterprise Security Framework, когда несколько провайдеров безопасности одновременно слушали события.

Это далеко не первый случай с ложными срабатываниями. В сентябре компания устраняла ошибку антиспама, из-за которой пользователи Teams и Exchange Online не могли открывать некоторые ссылки.

Ранее в этом году были похожие накладки: то Adobe-рассылки случайно попадали в спам, то Gmail-сообщения, то письма Exchange Online оказывались в карантине без повода.

Иными словами, Microsoft продолжает бороться не только с угрозами, но и с собственными алгоритмами.