Los piratas informáticos han descubierto una nueva forma de eludir el bloqueo de macros en los archivos de Microsoft Office y seguir entregando malware (se abre en una pestaña nueva) a víctimas desprevenidas a través de las aplicaciones de colaboración en línea de la empresa.
Expertos en seguridad en BleepingEquipo encontró correos electrónicos de phishing recién distribuidos equipados con archivos adjuntos de OneNote.
OneNote es una aplicación de toma de notas digital que las personas pueden usar para crear una biblioteca de contenido que se puede compartir. Viene como parte de la suite más amplia de Microsoft Office, lo que significa que si las personas tienen esto instalado, también pueden abrir archivos de OneNote. Si bien los archivos de OneNote, llamados NoteBooks, no admiten macros, admiten archivos adjuntos, y eso es lo que los delincuentes están aprovechando ahora.
Archivos VBS maliciosos
Los correos electrónicos de phishing en sí mismos no son nada fuera de lo común: incluyen notificaciones falsas de paquetes de DHL, facturas falsas, notificaciones de envío falsas, formularios de remesas ACH y demás. En lugar de llevar un archivo de Word o Excel adjunto, llevan un archivo de OneNote que, si se abre, parece estar borroso, con un gran botón en el medio que dice «Doble clic para ver el archivo».
Sin embargo, al hacer doble clic, se ejecuta el archivo adjunto que, en este caso, es un archivo VBS malicioso.
Este archivo luego inicia la comunicación con el servidor de comando y control (C2) y descarga el malware.
BleepingEquipo obtuvo un par de estos correos electrónicos y determinó que circulan múltiples troyanos de acceso remoto y ladrones de información, incluidos los troyanos de acceso remoto AsyncRAT y XWorm, así como el troyano de acceso remoto Quasar.
La mejor manera de protegerse contra estos ataques es la misma de siempre: eduque a sus empleados para que no descarguen archivos adjuntos y hagan clic en enlaces de correo electrónico de personas que no conocen, en las que no confían o cuya identidad no se puede confirmar. Además, se les debe educar para que no ignoren los mensajes de advertencia que aparecen en programas como Word, Excel o OneNote. Aparte de eso, es bienvenido tener una solución antivirus sólida y un firewall.
Finalmente, activar la autenticación multifactor (MFA) siempre que sea posible reduce en gran medida las posibilidades de un compromiso más grave.
Vía: BleepingComputer (se abre en una pestaña nueva)