Nova campanha de malware foca em arquivos do OneNote e invasão de e-mails

Os arquivos do OneNote com dados anexos em seu interior estão sendo utilizados em mais uma campanha maliciosa, desta vez para disseminar o malware QakNote. Como o nome já indica, se trata de uma versão dedicada a ataques dessa categoria, criada a partir do conhecido QBot, um vírus que começou atacando sistemas financeiros para, depois, evoluir em tarefas como roubo de dados, ransomware e abertura de portas para golpes posteriores.

• Microsoft vai atacar distribuição de malware por documentos do Excel
• 5 dicas para manter os e-mails corporativos mais seguros

A nova campanha maliciosa, relatada pela empresa de cibersegurança Sophos, é focada justamente no comprometimento inicial dos computadores com Windows para instalação de malwares e realização de explorações ao gosto dos bandidos. Na etapa inicial, entretanto, o objetivo parece ser a disseminação cada vez maior do próprio vírus, com as tarefas maliciosas detectadas estando relacionadas ao uso de serviços de e-mail para envio em massa de mensagens perigosas.

O contato entrega um arquivo do OneNote com anexos em seu interior, na forma de uma aplicação HTML em formato HTA. O usuário vê uma indicação ao clique, com a ideia de que o documento traz informações que precisam ser baixadas da nuvem, e ao fazer isso, abre as portas para o contato com servidores de comando e controle que baixam o QBot e iniciam as explorações, também, de acordo com o que é ordenado pelos bandidos a partir da infraestrutura.

O uso de anexos já é uma medida de ocultação do malware, que é seguida pela injeção dos códigos maliciosos em um serviço de tecnologia assistida do Windows, o AtBroker.exe, de forma a passar despercebido por softwares de segurança. A campanha estaria em andamento desde o final de janeiro deste ano, mas o número de vítimas não foi revelado. A Sophos aponta esta como mais uma tática sofisticada de contaminação pelos criminosos.

O uso de arquivos perigosos do OneNote surgiu em resposta aos bloqueios aplicados pela Microsoft sobre a execução de macros no Excel, um meio preferencial de distribuição de malware até meados de 2022. Os especialistas também indicam a combinação desta com outras táticas de comprometimento, com os anexos também podendo apontar para atalhos comprometidos do Windows que, por sua vez, realizam o download de vírus.

Mesmo com a exibição de alertas após o primeiro clique do usuário, as vítimas acabam caindo no golpe devido ao aspecto de engenharia social envolvido. O método de disseminação usa e-mails legítimos e se aproveita de trocas de mensagens por e-mail para embutir o arquivo malicioso, aumentando a chance de um contato abrir o arquivo e perpetuar a cadeia de contaminação.

Por outro lado, o OneNote não é exatamente o software mais usado do mundo, com a principal medida de segurança indicada pela Sophos sendo o bloqueio na execução de arquivos ligados ao aplicativo, menos em organizações que efetivamente os utilizem. Informar trabalhadores sobre as campanhas em andamento e as formas usadas para contaminar computadores também ajuda nas tarefas de mitigação.

Fonte: Sophos