Attori malevoli usano gli allegati di Microsoft OneNote nelle mail di phishing per diffondere malware.
I criminal hacker li utilizzano per infettare le vittime, sfruttando l’accesso da remoto per installare altro malware o rubare credenziali. Ma OneNote è solo una dei tanti veicoli per la diffusione di malware.
“Che si tratti di OneNote o di qualsiasi altro servizio”, commenta Pierguido Iezzi, Ceo di Swascan, “questa scoperta è una doppia conferma: la prima è di come il social engineering rimanga uno degli strumenti più pericolosi e diffusi nell’arsenale del Criminal Hacker, la seconda è che il tradizionale modello di difesa dello human risk – in isolation – non è poi più così efficace”. Ecco quali sono gli altri veicoli e come proteggersi.
Indice degli argomenti
Allerta OneNote: allegati usati per diffondere malware
Gli attori criminali veicolano allegati malevoli anche attraverso mail di phishing. Sfruttano l’accesso da remoto per installare altro malware sui PC delle vittime, rubare password o anche trafugare wallet di criptovalute.
Gli allegati che diffondono la minaccia sono file Word ed Excel malevoli, pronti a lanciare macro interne per effettuare il download di malware e installare l’agente malevolo.
Ma OneNote è solo uno dei tanti veicoli per diffondere malware.
“Il fatto che l’esca venga cambiata costantemente per renderla più efficace, non c’è troppo bisogno di rimarcarlo, è il segnale che questo schema di rotazione sia ancora efficace. Un mese è OneNote, il prossimo potrebbe essere outlook o Onedrive…”, continua Iezzi: “Con questo non voglio sminuire il ruolo della formazione e dell’awareness, che rimane la base della difesa dagli attacchi di social engineering. L’evoluzione, la persistenza e la rapidità con cui i Criminal Hacker oggi cambiano esche e vettori, però, rendono necessario un ulteriore rafforzamento della gestione del rischio umano. L’utente è un asset critico al pari di qualsiasi componente tecnologico”.
Infatti, threat actors hanno anche iniziato ad utilizzare nuovi formati di file, come le immagini ISO e file ZIP protetti da password. Questi formati di file sono diventati molto comuni, a causa di una falla già sanata in Windows che permette alle immagini ISO di bypassare i security warning e la popolare utility di archiviazione 7-Zip, per estrarre file.
Come proteggersi
Microsoft ha già disattivato di default le macro sui documenti Office. Tuttavia gli hacker continuano a sfruttare il metodo di attacco, che rimane fra i più pericolosi per chi non disabilita le macro per impostazione predefinita. Inoltre, 7-Zip e Windows hanno già risolto la vulnerabilità, ma non tutti hanno applicato la patch di sicurezza.
Ma poiché OneNote è solo uno dei tanti veicoli per la diffusione di malware, il consiglio fondamentale è non aprire mai allegati inviati da utenti sconosciuti (o anche noti, senza essersi accertati dell’invio di attachment).
“Proteggersi dal social engineering quindi significa anche mantenere lo stesso approccio di difesa a layer utilizzato per il perimetro tecnologico. Si lavora su competenza, ma anche tecnologie e processi. Il tutto protetto, appunto, dai layer della sicurezza predittiva, preventiva e proattiva”, conclude Pierguido Iezzi.
La consapevolezza dei rischi, insieme alla formazione e sensibilizzazione, è la migliore arma di difesa, per evitare di porre attenzione a mail di phishing, spesso camuffate da offerte troppo allettanti da sembrare vere e link di download. Infine bisogna aggiornare i sistemi operativi e i software, per evitare che hacker sfruttino falle già sanate.
