(资料图片)
研究人员发现了一项新的网络活动,该活动使用MicrosoftOneNote文件来感染带有QBot恶意软件的设备(在新标签页中打开).
Sophos的一份报告称,该活动被称为“QakNote”,目前处于活跃状态,未知的威胁行为者发送带有笔记本附件的网络钓鱼电子邮件,这些附件带有他们自己的附件。
这些附件几乎可以是任何格式,在本例中,它们是一个HTA文件——一个嵌入式HTML应用程序。
如果被激活,应用程序会检索QBot恶意软件负载,攻击者可以使用它来获得对目标端点的初始访问权限。之后,他们可以使用该访问权限来部署第二阶段的恶意软件,无论是infostelaer、勒索软件、加密矿工还是其他东西。
威胁行为者通常会创建带有大“单击此处查看”按钮的虚假模糊报告,诱使人们认为文件内容出于隐私原因受到“保护”。
随着Office宏的消亡,MicrosoftOneNote已成为更流行的威胁载体之一。2022年,微软禁止在从互联网下载的Office文件中运行宏,有效地阻止了现有最流行的攻击媒介之一。从那时起,威胁行为者一直在寻找替代方案,到目前为止,有两种方法越来越受欢迎。
带有恶意附件的OneNote文件是其中一种方法,第二种是用于旁加载恶意.DLL的快捷方式文件(.LNK)。
在第二种方法中,攻击者将发送包含恶意.DLL文件、合法应用程序(如Windows计算器)和图标已更改为其他内容(例如.PDF文件)的快捷方式文件的存档文件夹。如果受害者单击快捷方式文件,他们将运行该应用程序,这将触发恶意.DLL文件。
无论攻击者采用哪种方法,他们都有一个共同点——需要受害者采取行动,因为他们需要成为实际运行恶意代码的人。话虽这么说,保持安全的最佳方法是使用常识并在运行通过电子邮件下载的文件时要小心。