I ricercatori di Sophos hanno individuato nuovi attacchi effettuati sfruttando i documenti OneNote. Con uno dei più recenti, denominato QakNote, viene distribuito il famigerato trojan bancario Qakbot (noto anche come Qbot) che i cybercriminali usano come vettore di infezione iniziale. Successivamente eseguono altre attività, come il furto di dati o l’installazione di ransomware.
Nuovi metodi per distribuire Qakbot
Gli esperti di Sophos hanno scoperto che gli attacchi iniziano con l’invio di un’email a target specifici. Il documento OneNote viene scaricato quando l’utente clicca sul link presente nel messaggio o apre l’allegato infetto. Il documento include un’immagine statica che invita a cliccare sul pulsante Open.
Se l’utente clicca sul pulsante viene eseguita l’applicazione HTML (file HTA) integrata nel documento che scarica Qakbot dal server remoto. L’operazione viene effettuata da uno script che passa l’indirizzo del server all’applicazione curl.exe. Quest’ultima scarica una DLL (Qakbot) nella directory C:\ProgramData. Il malware viene quindi iniettato nel Windows Assistive Technology manager (AtBroker.exe) per eludere i controlli di sicurezza.
OneNote avvisa che il file scaricato può rappresentare un pericolo, ma gli utenti pensano che sia affidabile perché l’email sembra provenire da un mittente conosciuto. I ricercatori di Sophos consigliano quindi agli amministratori IT di bloccare i documenti OneNote (file con estensione .one). Ovviamente è meglio installare una soluzione di sicurezza che rileva questa e altre minacce.
Ti potrebbe interessare
8 feb 2023