Если вы ведёте переписку, будьте готовы, что ваш собеседник вдруг поделится с вами необычным вложением.
Специалисты ИБ-компании Sophos обнаружили новую кампанию QBot, получившую название «QakNote», которая использует вредоносные вложения Microsoft OneNote для заражения систем банковским трояном.
В Для просмотра ссылки Войди
Сценарий в HTA-файле использует легитимное приложение «curl.exe» для загрузки Для просмотра ссылки Войди
Полезная нагрузка QBot внедряется в диспетчер вспомогательных технологий Windows (Windows Assistive Technology manager, «AtBroker.exe»), чтобы скрыть свое присутствие и избежать обнаружения антивирусным ПО.
Sophos сообщает, что операторы QBot используют 2 метода распространения HTA-файлов: первый — отправка электронных писем со встроенной ссылкой на заражённый файл «.one», а второй — метод «внедрения потоков».
Техника внедрения потоков представляет собой процесс, когда операторы QBot захватывают существующие потоки электронной почты и отправляют сообщение «ответить всем» всем участникам потока, прикладывая к письму вредоносный файл OneNote в качестве вложения.
Чтобы сделать эти атаки еще более обманчивыми для жертв, злоумышленники встраивают поддельную кнопку в документе OneNote, которая якобы загружает документ из облака, но при нажатии вместо этого запускает встроенное HTA-вложение. Хотя после нажатия на кнопку пользователю отобразится предупреждение о риске запуска вложений, всегда есть вероятность, что жертва проигнорирует его.
Поддельная кнопка в файле В качестве защиты от этого нового вектора атаки Sophos предлагает администраторам электронной почты рассмотреть возможность блокировки всех файлов с расширением «.one», поскольку они обычно не отправляются в виде вложений.
*Социальная сеть Twitter запрещена на территории РФ.
- Источник новости
- www.securitylab.ru