El uso de documentos de Microsoft OneNote para distribuir malware a usuarios desprevenidos se está acelerando, afirman los investigadores de ciberseguridad de Proofpoint.
OneNote es la aplicación para tomar notas digitales de Microsoft, que forma parte de la suite de productividad de Office. Como tal, los ciberdelincuentes pueden suponer que la mayoría de sus víctimas ya tienen la aplicación instalada en sus terminales.
Los archivos de OneNote, llamados NoteBooks, permiten a los usuarios agregar archivos adjuntos, que pueden descargar malware desde ubicaciones remotas. Todo lo que los usuarios deben hacer es hacer doble clic en el archivo, lo cual se les puede engañar fácilmente para que lo hagan. Informes recientes vieron a piratas informáticos distribuir NoteBooks borrosos con el mensaje «doble clic para ver el contenido», engañando a las víctimas haciéndoles creer que el contenido del archivo está protegido.
Bajas tasas de detección
En un informe detallado publicado en el blog de la empresa a principios de esta semana, los investigadores de Proofpoint dijeron que identificaron seis campañas en diciembre de 2022, usando OneNote para entregar el malware AsyncRAT.
Un mes después, en enero de 2023, descubrieron más de 50 campañas. Además de AsyncRAT, los delincuentes entregaban Redline Stealer, AgentTesla y DOUBLEBACK. Más recientemente, el actor de amenazas conocido como TA577 lo usó para entregar Qbot.
Los investigadores de Proofpoint creen que los hackers que recurren a OneNote son, de hecho, el resultado de una extensa investigación. Después de experimentar con diferentes tipos de archivos adjuntos, se decidieron por OneNote ya que, hasta ahora, las tasas de detección son mínimas.
En el momento de la publicación, Proofpoint dice que los proveedores de antivirus en VirusTotal no detectaban «múltiples» muestras de malware.
La mejor manera de protegerse contra estos ataques es la misma de siempre: eduque a sus empleados para que no descarguen archivos adjuntos y hagan clic en enlaces de correo electrónico de personas que no conocen, en las que no confían o cuya identidad no se puede confirmar. Además, se les debe educar para que no ignoren los mensajes de advertencia que aparecen en programas como Word, Excel o OneNote. Aparte de eso, es bienvenido tener una solución antivirus sólida y un firewall.
Finalmente, activar la autenticación multifactor (MFA) siempre que sea posible reduce en gran medida las posibilidades de un compromiso más grave.