Malicious email installing malware

現在、脅威アクターは、フィッシング メールに OneNote の添付ファイルを使用して、被害者をリモート アクセス マルウェアに感染させ、さらにマルウェアをインストールしたり、パスワードを盗んだり、暗号通貨のウォレットを盗んだりするために使用される可能性があります。

これは、攻撃者が悪意のある Word や Excel の添付ファイルを使用して電子メールでマルウェアを配布し、マクロを起動してマルウェアをダウンロードおよびインストールしてから数年が経ちました。

しかし、7 月にMicrosoft は最終的に Office ドキュメントのマクロを既定で無効にしたため、この方法でマルウェアを配布することは信頼できなくなりました。

その後すぐに、攻撃者は ISO イメージやパスワードで保護された ZIP ファイルなどの新しいファイル形式を利用し始めました。これらのファイル形式は、ISO がセキュリティ警告を回避できるようにする Windows のバグと、人気のある 7-Zip アーカイブ ユーティリティが ZIP アーカイブから抽出されたファイルに Web のマーク フラグを伝達しないことにより、すぐに非常に一般的なものになりました。

ただし、 7-ZipWindows の両方で最近これらのバグが修正され、ユーザーがダウンロードした ISO および ZIP ファイル内のファイルを開こうとすると、Windows で恐ろしいセキュリティ警告が表示されるようになりました。

ISO 内のファイルに伝達される Web のマーク
ISO 内のファイルに伝達される Web のマーク
ソース:

攻撃者は思いとどまることなく、悪意のあるスパム (マルスパム) 添付ファイルで新しいファイル形式を使用するようにすぐに切り替えました: Microsoft OneNote 添付ファイルです。

OneNote 添付ファイルの悪用

Microsoft OneNoteは、無料でダウンロードできるデスクトップ デジタル ノートブック アプリケーションで、Microsoft Office 2019 および Microsoft 365 に含まれています。

Microsoft OneNote はすべての Microsoft Office/365 インストールにデフォルトでインストールされているため、Windows ユーザーがアプリケーションを使用していない場合でも、ファイル形式を開くことができます。

12 月中旬以降、 サイバーセキュリティの研究者は、攻撃者が OneNote の添付ファイルを含む悪意のあるスパム メールを配布し始めたと警告しました。

によって検出されたサンプルによると、これらのマルスパム メールは、DHL 出荷通知、請求書、ACH 送金フォーム、機械図面、および出荷書類を装っています。

OneNote が添付された偽の DHL メール
OneNote が添付された偽の DHL メール
ソース:

Word や Excel とは異なり、OneNote はマクロをサポートしていません。これは、攻撃者が以前にスクリプトを起動してマルウェアをインストールする方法でした。

代わりに、OneNote では、ユーザーが添付ファイルを NoteBook に挿入できます。このノートブックをダブルクリックすると、添付ファイルが起動します。

攻撃者はこの機能を悪用して、リモート サイトからマルウェアをダウンロードしてインストールするためにダブルクリックするとスクリプトを自動的に起動する悪意のある VBS 添付ファイルを添付します。

ただし、添付ファイルは OneNote のファイルのアイコンのように見えるため、攻撃者は挿入された VBS 添付ファイルの上に大きな [ダブルクリックしてファイルを表示] バーを重ねて非表示にします。

悪意のある OneNote メールの添付ファイル
悪意のある OneNote メールの添付ファイル
ソース:

Click to View Document バーを移動すると、悪意のある添付ファイルに複数の添付ファイルが含まれていることがわかります。この添付ファイルの行により、ユーザーがバーの任意の場所をダブルクリックすると、添付ファイルをダブルクリックして起動できるようになります。

非表示の OneNote 添付ファイル
非表示の OneNote 添付ファイル
ソース:

ありがたいことに、OneNote の添付ファイルを起動すると、コンピュータとデータに損害を与える可能性があることをプログラムが警告します。

しかし残念なことに、この種のプロンプトは一般的に無視され、ユーザーはただ [OK] ボタンをクリックするだけであることが歴史からわかっています。

OneNote 添付ファイルのセキュリティ警告
OneNote 添付ファイルのセキュリティ警告
ソース:

[OK] ボタンをクリックすると、VBS スクリプトが起動し、マルウェアをダウンロードしてインストールします。によって検出された悪意のある OneNote VBS ファイルの 1 つからわかるように、スクリプトはリモート サーバーから 2 つのファイルをダウンロードして実行します。

以下に示す最初のものは、おとりの OneNote ドキュメントで、開くと、期待どおりのドキュメントのように見えます。ただし、VBS ファイルはバックグラウンドで悪意のあるバッチ ファイルを実行し、マルウェアをデバイスにインストールします。

OneNote の添付ファイルに添付された悪意のある VB スクリプト
OneNote の添付ファイルに添付された悪意のある VB スクリプト
ソース:

によって見られるマルスパム電子メールでは、OneNote ファイルが、情報を盗む機能を含むリモート アクセス トロイの木馬をインストールします。

サイバーセキュリティ研究者の James はこれを確認し、彼が分析した OneNote の添付ファイルが AsyncRAT と XWorm リモート アクセス トロイの木馬をインストールしたことを明らかにしました。

Quasar Remote Access トロイの木馬として検出されるものをインストールします。

これらの脅威からの保護

このタイプのマルウェアがインストールされると、攻撃者は被害者のデバイスにリモートでアクセスして、ファイルを盗んだり、ブラウザーのパスワードを保存したり、スクリーンショットを撮ったり、場合によっては Web カメラを使用してビデオを録画したりすることができます。

また、攻撃者は一般的にリモート アクセス トロイの木馬を使用して被害者のデバイスから仮想通貨ウォレットを盗み、これを感染の代償にしています。

悪意のある添付ファイルから身を守る最善の方法は、知らない人からのファイルを開かないことです。ただし、誤ってファイルを開いてしまった場合は、オペレーティング システムまたはアプリケーションによって表示される警告を無視しないでください。

添付ファイルやリンクを開くとコンピュータやファイルに損害を与える可能性があるという警告が表示された場合は、[OK] を押さずにアプリケーションを閉じてください。

正当な電子メールであると思われる場合は、セキュリティまたは Windows 管理者と共有して、ファイルが安全かどうかを確認してください。