L’utilisation de documents Microsoft OneNote pour distribuer des logiciels malveillants à des utilisateurs sans méfiance s’accélère, ont affirmé des chercheurs en cybersécurité de Proofpoint.
OneNote est l’application de prise de notes numériques de Microsoft, qui fait partie de la suite de productivité Office. Ainsi, les cybercriminels peuvent supposer que la plupart de leurs victimes ont déjà installé l’application sur leurs terminaux.
Les fichiers de OneNote, appelés Notebooks, permettent aux utilisateurs d’ajouter des pièces jointes, qui peuvent télécharger des logiciels malveillants à partir d’emplacements distants. Tout ce que les utilisateurs doivent faire est de double-cliquer sur le fichier, ce qu’ils peuvent facilement être amenés à faire. Des rapports récents ont vu des pirates distribuer des cahiers flous avec le message « double-cliquez pour afficher le contenu », faisant croire aux victimes que le contenu du fichier est protégé.
Faibles taux de détection
Dans un rapport détaillé publié sur le blog de l’entreprise plus tôt cette semaine, les chercheurs de Proofpoint ont déclaré avoir identifié six campagnes en décembre 2022, en utilisant OneNote pour diffuser le malware AsyncRAT.
Un mois plus tard, en janvier 2023, ils ont découvert plus de 50 campagnes. Outre AsyncRAT, les escrocs livraient Redline Stealer, AgentTesla et DOUBLEBACK. Plus récemment, l’acteur menaçant connu sous le nom de TA577 l’a utilisé pour livrer Qbot.
Les chercheurs de Proofpoint pensent que les pirates qui se tournent vers OneNote sont en fait le résultat de recherches approfondies. Après avoir expérimenté différents types de pièces jointes, ils se sont installés sur OneNote car jusqu’à présent, les taux de détection sont minimes.
Au moment de mettre sous presse, Proofpoint indique que les échantillons de logiciels malveillants « multiples » n’étaient pas détectés par les fournisseurs d’antivirus sur VirusTotal.
La meilleure façon de se protéger contre ces attaques est la même qu’elle l’a toujours été : éduquez vos employés à ne pas télécharger de pièces jointes et à ne pas cliquer sur les liens des e-mails de personnes qu’ils ne connaissent pas, en qui ils n’ont pas confiance ou dont l’identité ne peut être confirmée. En outre, ils doivent être éduqués à ne pas ignorer les messages d’avertissement affichés dans des programmes tels que Word, Excel ou OneNote. En dehors de cela, une solution antivirus puissante et un pare-feu sont les bienvenus.
Enfin, l’activation de l’authentification multifacteur (MFA) dans la mesure du possible réduit considérablement les risques de compromission plus grave.