Aumenta considerablemente el uso del bloc de notas digital Microsoft OneNote para distribuir malware

Proofpoint, empresa líder en ciberseguridad y cumplimiento normativo, ha observado que desde diciembre de 2022 ha habido un aumento significativo de campañas que usan documentos de la aplicación para notas digitales Microsoft OneNote, con la extensión .one, mediante adjuntos de correo electrónico y enlaces para enviar malware a organizaciones objetivo en todo el mundo, incluida Europa. 

Mientras que el pasado diciembre solo se observaron seis campañas con este tipo de adjuntos para distribuir AsyncRAT, en enero de este año se han observado más de 50 campañas que distribuían siete tipos diferentes de payloads: Redline, AgentTesla, Quasar RAT, XWorm, Netwire, DOUBLEBACK y QbotEl aumento en el número total de campañas y la diversidad de payloadssugieren que son múltiples grupos de ciberdelincuentes los que están utilizando OneNote. Solo una de las campañas se pudo atribuir a un grupo rastreado anteriormente, el TA577, pero el resto no se han podido relacionar todavía con ningún grupo conocido.

Pese a este aumento, esta práctica para distribuir malware sigue siendo poco habitual dentro del panorama de amenazas actual. Desde que Microsoft empezó a bloquear las macros por defecto en 2022, los atacantes han experimentado con muchas tácticas, técnicas y procedimientos (TTP) nuevos, incluidos archivos que antes no se veían con frecuencia, como el disco duro virtual (VHD), HTML compilado (CHM) y ahora OneNote (.one). 

Las campañas observadas comparten características similares. Aunque los asuntos de los mensajes y los remitentes varían, casi todas utilizan mensajes únicos para distribuir malware y no suelen secuestrar hilos de conversación (thread hijacking). En el contenido de los emails es habitual encontrar temas genéricos relacionados con los negocios, como facturas, envíos, impuestos o pagas extra.  

Los documentos de OneNote contienen archivos incrustados y, a menudo, ocultos tras un gráfico que parece un botón. Cuando el usuario hace doble clic en el archivo incrustado, recibe una advertencia. Si el usuario hace clic en continuar, el archivo se ejecutará. Puede tratarse de distintos tipos de ejecutables, archivos de acceso directo (LNK) o archivos de secuencia de comandos, como aplicaciones HTML (HTA) o archivos de secuencia de comandos de Windows (WSF).

“Nuestra investigación muestra cómo estos grupos está tratando de eludir creativamente las detecciones de antivirus existentes”, explican desde Proofpoint. “Cabe señalar que, para que una infección tenga éxito, el usuario final debe interactuar con el documento de OneNote e ignorar las advertencias de que el contenido podría ser malicioso. Teniendo en cuenta el aumento del uso de OneNote en las campañas y la diversidad de las payloads, es probable que veamos a más ciberdelincuentes adoptar métodos similares en el futuro”.

Por ahora, la técnica es eficaz. En el momento del análisis, varias muestras de malware de OneNote observadas no fueron detectadas por numerosos proveedores de antivirus. Como estos ataques solo tienen éxito si el destinatario abre el archivo adjunto, es imprescindible que las organizaciones eduquen a sus empleados sobre esta técnica y animen a denunciar los correos electrónicos y archivos adjuntos sospechosos.

Scroll al inicio