Los piratas informáticos ahora utilizan archivos adjuntos de Microsoft OneNote para difundir malware

May 18, 2023

Los actores de amenazas ahora usan archivos adjuntos de OneNote en correos electrónicos de phishing que infectan a las víctimas con malware de acceso remoto que puede usarse para instalar más malware, robar contraseñas o incluso billeteras de criptomonedas.

Esto se produce después de que los atacantes hayan estado distribuyendo malware en correos electrónicos utilizando archivos adjuntos maliciosos de Word y Excel que ejecutan macros para descargar e instalar malware durante años.

Sin embargo, en julio, Microsoft finalmente deshabilitó las macros de forma predeterminada en los documentos de Office, lo que hizo que este método no fuera confiable para distribuir malware.

Poco después, los actores de amenazas comenzaron a utilizar nuevos formatos de archivo, como imágenes ISO y archivos ZIP protegidos con contraseña. Estos formatos de archivos pronto se volvieron extremadamente comunes, ayudados por un error de Windows que permitía a los ISO eludir las advertencias de seguridad y la popular utilidad de archivo 7-Zip que no propagaba marcas de marca web a archivos extraídos de archivos ZIP.

Sin embargo, tanto 7-Zip como Windows solucionaron recientemente estos errores que provocaban que Windows mostrara advertencias de seguridad aterradoras cuando un usuario intenta abrir archivos en archivos ISO y ZIP descargados.

Para no desanimarse, los actores de amenazas cambiaron rápidamente y comenzaron a utilizar un nuevo formato de archivo en sus archivos adjuntos de spam malicioso (malspam): archivos adjuntos de Microsoft OneNote.

Microsoft OneNote es una aplicación de cuaderno digital de escritorio que se puede descargar de forma gratuita y está incluida en Microsoft Office 2019 y Microsoft 365.

Como Microsoft OneNote se instala de forma predeterminada en todas las instalaciones de Microsoft Office/365, incluso si un usuario de Windows no usa la aplicación, todavía está disponible para abrir el formato de archivo.

Desde mediados de diciembre, Trustwave SpiderLabs advirtió que los actores de amenazas habían comenzado a distribuir correos electrónicos no deseados maliciosos que contenían archivos adjuntos de OneNote.

A partir de muestras encontradas por BleepingComputer, estos correos electrónicos de malspam pretenden ser notificaciones de envío de DHL, facturas, formularios de remesa ACH, dibujos mecánicos y documentos de envío.

A diferencia de Word y Excel, OneNote no admite macros, que es la forma en que los actores de amenazas lanzaban anteriormente scripts para instalar malware.

En cambio, OneNote permite a los usuarios insertar archivos adjuntos en un NoteBook que, al hacer doble clic, iniciará el archivo adjunto.

Los actores de amenazas están abusando de esta característica al adjuntar archivos adjuntos VBS maliciosos que inician automáticamente el script cuando se hace doble clic para descargar malware desde un sitio remoto e instalarlo.

Sin embargo, los archivos adjuntos parecen el ícono de un archivo en OneNote, por lo que los actores de amenazas superponen una gran barra de "Doble clic para ver el archivo" sobre los archivos adjuntos VBS insertados para ocultarlos.

Cuando quitas la barra Hacer clic para ver documento, puedes ver que el archivo adjunto malicioso incluye varios archivos adjuntos. Esta fila de archivos adjuntos hace que si un usuario hace doble clic en cualquier lugar de la barra, hará doble clic en el archivo adjunto para iniciarlo.

Afortunadamente, al iniciar archivos adjuntos de OneNote, el programa le advierte que hacerlo puede dañar su computadora y sus datos.

Pero desafortunadamente, la historia nos ha demostrado que este tipo de mensajes comúnmente se ignoran y los usuarios simplemente hacen clic en el botón Aceptar.

Al hacer clic en el botón Aceptar, se iniciará el script VBS para descargar e instalar malware. Como puede ver en uno de los archivos maliciosos de OneNote VBS encontrados por BleepingComputer, el script descargará y ejecutará dos archivos desde un servidor remoto.

El primero que se muestra a continuación es un documento señuelo de OneNote que se abre y se parece al documento que esperaba. Sin embargo, el archivo VBS también ejecutará un archivo por lotes malicioso en segundo plano para instalar malware en el dispositivo.

En los correos electrónicos de malspam vistos por BleepingComputer, los archivos de OneNote instalan troyanos de acceso remoto que incluyen una funcionalidad de robo de información.

El investigador de ciberseguridad James confirmó esto y le dijo a BleepingComputer que los archivos adjuntos de OneNote que analizó instalaron los troyanos de acceso remoto AsyncRAT y XWorm.

Consejo profesional: si aún no estás bloqueando archivos .one en tu perímetro/puerta de enlace de correo electrónico... es el momento.

Un archivo adjunto de OneNote visto por BleepingComputer instala lo que se detecta como el troyano Quasar Remote Access.

Una vez instalado, este tipo de malware permite a los actores de amenazas acceder de forma remota al dispositivo de la víctima para robar archivos, guardar contraseñas del navegador, tomar capturas de pantalla y, en algunos casos, incluso grabar videos usando cámaras web.

Los actores de amenazas también suelen utilizar troyanos de acceso remoto para robar carteras de criptomonedas de los dispositivos de las víctimas, lo que hace que esta infección sea costosa.

La mejor manera de protegerse de archivos adjuntos maliciosos es simplemente no abrir archivos de personas que no conoce. Sin embargo, si abre un archivo por error, no ignore las advertencias que muestra el sistema operativo o la aplicación.

Si ve una advertencia de que abrir un archivo adjunto o un enlace podría dañar su computadora o sus archivos, simplemente no presione Aceptar y cierre la aplicación.

Si cree que puede ser un correo electrónico legítimo, compártalo con un administrador de seguridad o de Windows para que le ayude a verificar si el archivo es seguro.