Genom att använda tidigare e-postkonversationer utnyttjar angripare funktioner i Microsoft OneNote för att sprida skadlig kod.
Med hjälp av makron (inbäddad programkod), har angripare sedan många år kunnat sprida skadlig kod genom Microsoft Word och Excel dokument. Sedan Microsoft korrigerade sina grundinställningar för Office-dokument i juli 2022 i ett försök att begränsa kodspridningen så är makron nu som regel avstängda, såvida inte användare eller organisationen har gjort andra inställningar. Till följd av detta använder hotaktörer i högre utsträckning andra filtyper, bland annat OneNote-dokument som på senare tid har blivit mer vanligt.
Hur e-postkonversationer används av angripare
- En användare mottar vad som verkar vara ett legitimt e-postmeddelande som fortsättning i en tidigare konversation hen varit delaktig i.
- Angriparens meddelande innehåller uppmaning att öppna ett dokument genom att klicka på en bifogad länk eller bilaga som påstås vara relevant för ärendet.
- Klickar användaren på länken/bilagan och öppnar dokumentet kan skadlig kod exekveras.
IT-Totals rekommendationer
IT-Total rekommenderar att vara extra uppmärksam på plötslig aktivitet av ovan nämnda karaktär, men även nätfiske generellt. Verifiera möjligheter att blockera OneNote-filer via e-post eller i brandvägg/proxy om de inte används av organisationen, eller möjlighet till innehållskontroll av OneNote-filer.
Genom att kontinuerligt utbilda och uppmärksamma användarna om aktuella metoder som hotaktörer utnyttjar minskar ni risken att bli utsatta för ett intrång.
Läs mer om hur IT-Total kan hjälpa er med ert cyberarbete.
Källor:
https://www.cert.se/2023/02/flera-fall-av-natfiske-med-liknande-angreppssatt?src=rss
