En tant qu’utilisateur de OneNote, vous devez vous méfier particulièrement des pièces jointes aux e-mails, sinon vous pourriez attraper des logiciels malveillants.
Les cybercriminels utilisent de plus en plus les fichiers OneNote pour infecter les ordinateurs de leurs victimes avec des logiciels malveillants. Cela n’a pas si bien fonctionné avec les documents Office contenant des macros depuis l’année dernière. Les attaquants profitent du fait que l’application de note populaire de Microsoft permet d’exécuter directement certains types de fichiers.
OneNote s’impose comme une passerelle pour les logiciels malveillants
Après que Microsoft a pris la décision l’année dernière de bloquer les macros par défaut dans ses applications Office, les cybercriminels sont constamment à la recherche de nouvelles options de transport pour faire passer clandestinement leurs logiciels malveillants sur des systèmes tiers.
Ils expérimentent différents types de fichiers tels que ISO, VHD, SVG, CHM, RAR, HTML et LNK. Récemment, cependant, les fichiers OneNote avec les extensions « .un » et « .onepkg” en tant que taxi malveillant. Ceux-ci atteignent les ordinateurs des personnes ciblées par l’attaque de phishing sous forme de pièce jointe à un e-mail.
Plus de 50 campagnes de logiciels malveillants ont ciblé les utilisateurs de OneNote en janvier
Les chercheurs en sécurité de Proofpoint ont découvert plus de 50 campagnes de logiciels malveillants basées sur des pièces jointes OneNote en janvier 2023 seulement. Les attaquants ont distribué une grande variété de types et de variantes de logiciels malveillants. Ceux-ci incluent AsyncRAT, Quasar RAT, RedLine, XWorm, NetWire RAT, DOUBLEBACK, Agent Tesla et Qbot.
Comme l’a rapporté The Hacker News, certains des fichiers OneNote analysés contenaient un fichier HTA intégré qui invoquait un script PowerShell. Cela a finalement téléchargé un binaire malveillant à partir d’un serveur pour infiltrer le système de la victime.
Dans d’autres cas, les attaquants ont caché un VBScript dans le document OneNote, qui à son tour a récupéré un script PowerShell d’un serveur pour exécuter le malware DOUBLEBACK. Le VBScript était derrière un bouton intitulé « Double-cliquez pour afficher le fichier » caché.
Bien que le double-clic déclenche initialement un avertissement de sécurité, il est bien connu que de nombreux utilisateurs sont habitués à ignorer ces messages.
L’application Notes de Microsoft permet l’exécution de fichiers
OneNote est particulièrement intéressant pour la propagation des malwares car certains types de fichiers sélectionnés peuvent être exécutés directement depuis l’application. « Ces types de fichiers incluent CHM, HTA, JS, WSF et VBS« , a déclaré Scott Nusbaum, chercheur en sécurité chez TrustedSec.
Il est extrêmement douteux que le blocage des macros par Microsoft ait été si efficace alors que la société propose également une nouvelle passerelle pour les logiciels malveillants avec OneNote. On peut rester curieux de voir comment la firme de Redmond tentera de réduire la surface d’attaque la prochaine fois.