Les acteurs de la menace recherchent toujours des moyens d’introduire des logiciels malveillants dans votre système, et il semble souvent qu’ils disposent d’un réservoir d’ingéniosité illimité sur lequel se rabattre. Cette fois, ils ont été surpris en train de propager des logiciels malveillants via des pièces jointes Microsoft OneNote dans des e-mails de phishing, en particulier des logiciels malveillants d’accès à distance.
On sait depuis longtemps que les attaquants utilisent des fichiers Microsoft Office pour diffuser des logiciels malveillants depuis de nombreuses années, en particulier des pièces jointes Word et Excel. Microsoft a finalement pris des mesures en juillet dernier, désactivant par défaut les macros des documents Office et en faisant un moyen peu fiable d’infecter des destinataires sans méfiance.
Sans se laisser décourager, les attaquants sont passés à l’utilisation d’images ISO et de fichiers ZIP, exploitant les bogues de Windows et de 7-Zip. Maintenant, ces failles de sécurité ont également été corrigées et il semble que les pièces jointes OneNote deviennent l’arme de choix.
Selon Ordinateur qui bipe (s’ouvre dans un nouvel onglet) les différents e-mails de phishing prétendent être des choses comme des notifications d’expédition, des factures, des dessins mécaniques et d’autres fichiers anodins. Mais étant donné que OneNote ne prend pas en charge les macros, les attaquants ont dû faire preuve de créativité dans la façon dont ils obtiennent le fichier pour installer des logiciels malveillants.
Apparemment, cela est dû aux fonctionnalités de OneNote qui permettent aux utilisateurs d’ajouter des pièces jointes à un bloc-notes. Le fichier OneNote joint semble être flou, avec un gros bouton indiquant « Double-cliquez pour afficher le fichier ». Mais un double-clic sur ce bouton exécute la pièce jointe du fichier, qui est un fichier Visual Basic Script (VBS) malveillant. Ce VBS est alors capable de télécharger des logiciels malveillants à partir d’un site distant et de l’installer sur votre machine.
OneNote vous avertira des dangers liés à l’ouverture de fichiers provenant de sources inconnues, mais son efficacité dépend de l’attention de l’utilisateur. Le fichier VBS téléchargera et affichera également un document OneNote leurre une fois activé, ce qui vous rendra plus conscient de ce qui vient de se passer.
Bleeping Computer a découvert que les fichiers finissaient par voler des chevaux de Troie d’accès à distance, permettant aux attaquants d’accéder à votre appareil et de voler à peu près n’importe quoi. Fichiers, mots de passe enregistrés, portefeuilles cryptographiques, séquences de webcam, etc.
La meilleure façon de rester à l’abri de ces types d’attaques est de ne pas ouvrir les fichiers de personnes que vous ne connaissez pas réellement, en particulier les fichiers OneNote. En plus de cela, si jamais vous ouvrez un fichier inconnu, vous devez écouter tous les avertissements qui peuvent apparaître, le tout pour votre propre sécurité.