Une nouvelle campagne de phishing abuse des paperwork OneNote pour infecter les ordinateurs avec le tristement célèbre malware AsyncRAT, ciblant les utilisateurs au Royaume-Uni, aux États-Unis et au Canada.
Comme Microsoft a décidé de changement le défaut de ses produits Workplace pour bloquer les macros sur les fichiers téléchargés sur Web, les cybercriminels ont vu l’une de leurs méthodes d’an infection préférées disparaître.
Certains cybercriminels ont déjà trouvé une answer de contournement pour continuer à utiliser certains produits Microsoft Workplace, comme abuser des fichiers XLL d’Excel. Certains autres cybercriminels ont trouvé une autre façon de continuer à abuser des produits Microsoft pour infecter les ordinateurs avec des logiciels malveillants : Une word paperwork.
VOIR: Politique de sécurité des appareils mobiles (TechRepublic Premium)
Les attaques de phishing délivrent des logiciels malveillants AsyncRAT
Un nouveau Bitdefender étude expose une campagne de phishing abusant de OneNote pour infecter les ordinateurs avec des logiciels malveillants. Au cours de cette campagne d’attaques, des cybercriminels se sont fait passer pour Ultramar, un détaillant canadien d’essence et de carburant domestique, en envoyant des courriels d’hameçonnage censés provenir de l’entreprise (Determine A).
Determine A
Comme on peut le voir dans Determine Al’e-mail contient du texte en anglais et en français, mais surtout un fichier joint nommé Invoice_32566.one – l’extension de fichier .one indiquant un fichier OneNote.
Une deuxième campagne de phishing similaire a frappé le Canada, le Royaume-Uni et les États-Unis avec un autre nom de fichier pour la pièce jointe, Invoice_76562.one.
Les fees utiles déclenchées par ces paperwork OneNote, une fois ouvertes, ont été téléchargées à partir d’une église catholique au Canada et d’un fournisseur de providers numériques en Inde. Tous deux ont été compromis par les assaillants ou peut-être amenés à certains courtier d’accès preliminary (IAB) en ligne et utilisé pour héberger les malwares. Il s’agit d’une method courante utilisée par les cybercriminels pour éviter d’être détectés pendant une période plus longue en utilisant un website Net légitime pour héberger leur code malveillant.
En fin de compte, les utilisateurs ouvrant les paperwork OneNote ont été infectés par AsyncRAT, que Bitdefender décrit comme « un outil d’accès à distance astucieux conçu pour laisser furtivement un attaquant infiltrer les appareils de l’appareil de la victime cible ».
Qu’est-ce qu’AsyncRAT ?
AsyncRAT le code supply est disponible gratuitement sur Web depuis 2019, ce qui signifie que la model originale est détectée par la plupart des options de sécurité, sinon toutes. Cependant, cela signifie également que les développeurs peuvent utiliser le code supply d’AsyncRAT et le modifier pour ajouter ou supprimer des fonctionnalités ou pour le rendre moins détectable.
Actuellement, ce logiciel malveillant est succesful d’enregistrer des écrans, de capturer des frappes au clavier, de manipuler des fichiers sur le système, d’exécuter du code ou de lancer des attaques par déni de service distribuées. Cela signifie qu’il peut être utilisé à diverses fins.
Il a déjà été utilisé par les acteurs de la menace de cyberespionnage ou pour des objectifs financiers. Une fois qu’un ordinateur est infecté par AsyncRAT, l’attaquant peut voir la machine dans le panneau d’administration des outils et agir sur la machine si nécessaire (Determine B). Plusieurs machines infectées peuvent être manipulées dans la même interface.
Determine B
Plus d’attaques dans la nature
Les chercheurs de Bitdefender ne sont pas les seuls à avoir enquêté sur la nouvelle menace que représente AsyncRAT. Décembre 2022, Trustwave aussi campagnes d’attaques de phishing signaléesdélivrant cette fois le Formulaire malware, un voleur d’informations succesful de voler des mots de passe, de prendre des captures d’écran, d’exécuter du code et plus encore.
« Il est clair de voir remark les cybercriminels exploitent de nouveaux vecteurs d’attaque ou des moyens moins détectés pour compromettre les appareils des utilisateurs », a déclaré Adrian Miron, responsable du Cyber Risk Intelligence Lab de Bitdefender. « Ces campagnes sont susceptibles de proliférer dans les mois à venir, les cybercriminels testant des angles meilleurs ou améliorés pour compromettre les victimes. »
Remark se protéger de cette menace ?
Les entreprises qui n’utilisent pas OneNote doivent bloquer les extensions .one dans leurs serveurs de messagerie. Cela empêcherait tout utilisateur interne d’ouvrir accidentellement des fichiers infectés sur les outils de l’entreprise. Au lieu de cela, les employés doivent demander des fichiers dans un autre format comme .doc ou .xlsx pour éviter une exposition potentielle. Dans une mesure plus extrême, ces entreprises pourraient empêcher les employés de télécharger ou d’utiliser OneNote sur les outils et les systèmes de l’entreprise, mais cela n’est pas recommandé automobile certains employés pourraient actuellement utiliser l’outil.
Les fichiers OneNote malveillants utilisent principalement des fichiers joints à l’intérieur du doc. Lors de l’accès à ces pièces jointes, un avertissement est émis par le logiciel pour informer l’utilisateur qu’il pourrait endommager l’ordinateur et les données. Pourtant, l’expérience a montré que les utilisateurs négligent souvent ces avertissements et cliquent simplement sur le bouton de validation. Les entreprises peuvent s’efforcer de prévenir ces menaces en :
- Sensibiliser tous les employés aux fichiers et liens potentiellement dangereux.
- Création de protocoles et formation sur la façon de répondre aux avertissements de fichiers ou de liens malveillants.
- Déployer des options de sécurité qui détectent le code malveillant lorsqu’il est déclenché à partir d’un fichier OneNote ou d’autres menaces.
- Mettre à jour et corriger tous les systèmes et logiciels pour éviter d’être compromis par une vulnérabilité commune.
Divulgation: Je travaille pour Pattern Micro, mais les opinions exprimées dans cet article sont les miennes.
Apprenez-en plus sur la cybersécurité avec ces ressources de TechRepublic Academy :
