En el último estudio realizado por la empresa de ciberseguridad Proofpoint se ha detectado el aumento considerable del uso de la herramienta Microsoft OneNote por parte de los hackers para enviar malware a organizaciones públicas y privadas de todo el mundo. Estos documentos llevarían la extensión .one e irían adjuntos en correos electrónicos y enlaces. Cualquier persona que tenga acceso a esta herramienta del paquete de productos de Microsoft 365 se podría ver afectada.
Es una técnica realmente innovadora desarrollada por los ciberdelincuentes, ya que Microsoft ha trabajado férreamente por bloquear tácticas, técnicas y procedimientos nuevos (TTP) como el disco duro virtual (VHD) y el HTML compilado (CHM). La irrupción de OneNote supone una novedad. Y es que desde diciembre se han registrado hasta seis campañas en las que se ha intentado distribuir AsyncRAT, mientras que en enero se produjeron más de 50 para distribuir hasta siete modelos diferentes de payloads: Redline, AgentTesla, Quasar RAT, XWorm, Netwire, DOUBLEBACK y Qbot.
MS Recomienda
Los documentos de OneNote pueden venir como archivos adjuntos en el propio email o bien ocultos tras un gráfico, de tal modo que cuando el usuario hace doble clic sobre el archivo incrustado recibe una advertencia, pero si aún así desea continuar, entonces el archivo se ejecutará y comenzará la operación para los hackers. Pueden ser archivos de acceso directo (LNK), archivos de secuencia de comandos, aplicaciones HTML (HTA) o archivos de secuencia de comandos de Windows (WSF).
Las campañas de diciembre
En este mes vimos dos campañas que incluyeron como remitente a una supuesta entidad aeroespacial que les enviaba nombres de máquinas y piezas. Los mensajes contenían un archivo adjunto OneNote que a su vez tenía un archivo HTA que llama a un script de PowerShell para descargar un ejecutable (por ejemplo Excel.exe) desde una URL. Se dirigieron a entidades en sectores industriales y de fabricación. Otra campaña específica de regalos de Navidad se dirigió a empresas del sector de la educación. Todas usaron los mismos TTP, es decir, un archivo adjunto de OneNote que usó PowerShell para descargar la carga útil de AsyncRAT desde una URL.
Las campañas de enero
Más de 50 campañas de malware que aprovecharon los archivos adjuntos de OneNote para incluir mensajes que seguían usando los mismos TTP que finalmente conducían a la descarga de un malware. Para ello, los atacantes emplearon los servicios ‘OneNote Gem’ y Transfer.sh para alojar cargas útiles. El 19 de enero se observaron dos campañas que usaban URL para entregar archivos adjuntos de OneNote que generaron cargas útiles de XWorm y DOUBLEBACK. A estos se les unieron AsyncRAT. Redline y AgentTesla y Netwire. La mayoría de las campañas estaban en inglés o francés como señuelo. Los mensajes tenían un archivo adjunto de OneNote que contenía un script de PowerShell para descargar un archivo por lotes (system32.bat) desde una URL.
El 19 de enero, los investigadores de Proofpoint observaron una campaña que distribuía DOUBLEBACK que habilitaba el reconocimiento de host y red, el robo de datos y las cargas útiles de seguimiento. Anteriormente este malware fue empleado por TA579 como primera campaña basada en el secuestro de hilos. La URL llevó a la descarga de un archivo zip que contenía un OneNote con el mismo nombre.
¿Quién se encuentra detrás de todo esto?
Resulta difícil dar con su identidad, pero ese incremento notorio de ataques de malware con OneNote denota que se trataría de varios grupos de ciberdelincuentes, siendo uno de ellos TA5777. Los grupos podrían estar relacionados entre sí según el comando y control (C2), orientación y señuelos empleados.
Todas las campañas emplean el mismo método: enviar mensajes únicos, sin secuestrar hilos de conversación (thread hijacking), siendo siempre el tema de los emails relacionado con facturas, envíos, impuestos, negocios, pagas extras o temas relacionados con la temporada (como bonos descuento para Navidad).
Los investigadores de Proofpoint asociaron esos artefactos en las campañas con repositorios de GitHub, vinculados a su vez con el usuario MREXw. Aquí se incluye el dominio de carga útil “direct-trojan[.]com” y una técnica de cifrado de archivos por lotes.
¿Qué pueden hacer los usuarios?
Ser cautelosos. Si ya de por sí resulta complicado frenar estos ataques de malware, si los propios usuarios les dan acceso e interactúan con el documento OneNote, a pesar de las advertencias de su antivirus, entonces el daño estará garantizado. Es por ello que será común encontrar este tipo de ataques más frecuentemente en el futuro. Por consiguiente, Proofpoint asegura que es fundamental que las instituciones formen a sus empleados sobre esta técnica y a aprender a denunciar este tipo de correos electrónicos y archivos adjuntos sospechosos.