Como evitar ataques cibernéticos que usam o Microsoft OneNote?
Por Felipe Demartini • Editado por Claudio Yuge |
Depois dos macros no Excel e das imagens de disco, o Microsoft OneNote se tornou o software favorito dos cibercriminosos na distribuição de ataques contra redes corporativas. Gratuito para todos e normalmente instalado como uma parte “esquecida” da suíte Office, ele se tornou um método popular para a disseminação de malwares, que aparecem escondidos em documentos anexados que, por sua vez, escondem os dados maliciosos que levam aos golpes.
- O que esperar da cibersegurança no Brasil e no mundo em 2023?
- Segurança não deve ser sobre medo, mas sim esperança, diz executiva da Microsoft
Mensagens de supostos parceiros comerciais, possíveis clientes e até de membros da própria organização constituem o vetor inicial de entrada dos golpes de engenharia social ora sofisticados, ora voltados a ataques em massa. Seja como for, a ideia é levar usuários a baixarem os documentos do OneNote, mas também os executarem nas máquinas locais, abrindo as portas para o contato com servidores de controle que baixam vírus e ferramentas que podem levar ao roubo de dados, ransomware, espionagem e outros tipos de ofensiva.
Botões que pedem um clique para liberar documentos ou dados escondem os arquivos contaminados, e enquanto alertas da Microsoft indicam o perigo em potencial, a ideia de que os dados são confiáveis faz com que muitos usuários ignorem o aviso. O resultado, normalmente, é o download de malware a partir das infraestruturas cibercriminosas e a detonação de ataques contra redes corporativas.
Entre os agentes que mais utilizam esse método está o ransomware BlackBasta e a rede de trojans QakBot. Como dito, em muitos casos, os e-mails fraudulentos são enviados em massa a partir de redes cujas identidades foram comprometidas, enquanto outros golpes, mais arrojados, podem simular a aparência real de contatos para dar mais veracidade ao golpe e aumentar a possibilidade de contaminação.
Como bloquear ataques com arquivos do OneNote?
Apesar de popular e presente em muitos PCs com Windows, o software da Microsoft não é necessariamente o mais utilizado pelas corporações. Sendo assim, a não ser que sua organização efetivamente faça uso diário da solução, o ideal é adicionar regras de e-mail que bloqueiem dados do OneNote, cortando de forma geral o vetor de ameaças contra a rede.
Os arquivos do software são do formato .ONE, que também pode ser bloqueado no próprio PC, para que não seja executado. Caso o software precise ser utilizado, o ideal é trabalhar em campanhas de conscientização sobre sua utilização maliciosa, assim como na criação de regras e melhores práticas de monitoramento e acompanhamento, de forma a acelerar a detecção de um comprometimento no dispositivo ou na rede.
Outra maneira eficaz de evitar ataques é utilizar políticas de grupo do Office para bloquear a execução de anexos do OneNote — a Microsoft tem soluções específicas para a suíte de aplicações. Assim, mesmo que um documento malicioso seja aberto, sua porção mal-intencionada será bloqueada automaticamente a partir de regras que precisam ser configuradas pelos administradores.
Novamente, caso a política seja restritiva demais, é possível a aplicar apenas para alguns tipos de anexos, com formatos como JS, EXE, BAT, VBS, COM, SCR, CMD e PS1. Estes são os tipos conhecidos de arquivos usados pelos bandidos, com a regra devendo ser atualizada de acordo com relatórios de inteligência de ameaças caso outros comecem a ser utilizados para o mesmo fim.
Tal mecânica também deve acompanhar medidas de treinamento para que os funcionários reconheçam os vetores de ataque e não caiam na isca dos cibercriminosos. Ainda que os golpes ganhem sofisticação, seu caminho inicial de entrada segue sendo o mesmo, o que significa que um olho vivo sobre golpes de phishing e outras tentativas de intrusão pode cortar a cadeia de comprometimento.
Fonte: Bleeping Computer