Microsoft ได้ออกประกาศการป้องกันไฟล์แนบบน Microsoft OneNote โดยการบล็อก 120 นามสกุลไฟล์ที่เป็นอันตราย เพื่อป้องกันการโจมตีจากการโจมตีแบบ Phishing

ทาง Microsoft จะทำการปรับปรุง OneNote ให้มีระดับการรักษาความปลอดภัยที่สูงขึ้น ตามแผนงานของ Microsoft 365 ในวันที่ 10 มีนาคมที่ผ่านมา ภายหลังจากที่พบว่า OneNote ได้กลายเป็นเครื่องมือใหม่ของ Hacker ที่ใช้ในการโจมตีแบบฟิชชิ่งเพื่อแพร่กระจายมัลแวร์

โดย Microsoft เริ่มพบการโจมตีโดยการใช้ OneNote ในการฝังไฟล์ และสคริปต์ที่เป็นอันตราย และส่ง phishing email ไปหาเป้าหมาย ภายหลังจากที่ในเดือนธันวาคม 2022 Microsoft ได้ออกอัปเดตแพตซ์ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ zero-day การ bypass MoTW ที่ถูกนำมาใช้เพื่อแพร่กระจายมัลแวร์ผ่านไฟล์ ISO และ ZIP รวมไปถึงการปิดใช้งาน macro ใน Word และ Excel เป็นค่าเริ่มต้น

การบล็อกนามสกุลไฟล์ที่เป็นอันตราย

Microsoft ได้เผยแพร่รายละเอียดเพิ่มเติมเกี่ยวกับนามสกุลไฟล์ที่จะถูกบล็อก หลังจากแพตซ์อัปเดตความปลอดภัยของ OneNote ใหม่เปิดตัว ทั้งนี้ยังรวมไปถึงไฟล์ที่ถูกบล็อกโดย Outlook, Word, Excel และ PowerPoint โดยประกอบด้วย 120 รายการตามเอกสารการสนับสนุนของ Microsoft 365 ดังนี้

ซึ่งก่อนหน้านี้ทาง OneNote จะมีการแจ้งเตือนด้านความปลอดภัยเมื่อมีการเปิดไฟล์ที่เป็นอันตรายจาก OneNote ว่าไฟล์แนบที่เปิดอาจเป็นไฟล์อันตราย แต่ผู้ใช้งานส่วนใหญ่ก็ยังกดเปิดอยู่ดี แต่หลังจากนี้ OneNote จะทำการบล็อกนามสกุลไฟล์ที่เป็นอันตรายโดยทันที โดยจะแจ้งว่า "Your administrator has blocked your ability to open this file type in OneNote.

Abel นักวิจัยด้านความปลอดภัยได้เปิดเผยการพบการเปลี่ยนวิธีการโจมตีของ Emotet โดยหันมาใช้ Microsoft OneNote แทนการใช้ Microsoft Word และ Excel ในการแนบไฟล์อันตรายเพื่อโจมตี และหลบหลีกการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัย

Emotet เป็น malware botnet ที่มีชื่อเสียง ซึ่งในอดีตใช้การโจมตีผ่านทาง Microsoft Word และ Excel โดยการฝัง macro ที่เป็นอันตราย ซึ่งหากผู้ใช้งานเปิดไฟล์แนบ และเปิดใช้งาน macro จะส่งผลให้ถูกดาวน์โหลด และติดตั้งมัลแวร์ Emotet บนอุปกรณ์เป้าหมาย รวมถึงดาวน์โหลดเพย์โหลดอันตรายอื่น ๆ และเข้าถึงเครือข่ายภายในขององค์กร (more…)

Microsoft OneNote ได้กลายเป็นที่นิยมของกลุ่ม Hacker ในการโจมตี และแพร่กระจายมัลแวร์บนระบบของเป้าหมาย เนื่องจากปัจจุบัน Microsoft ได้ปิดการใช้งาน macro เป็นค่าเริ่มต้นใน Word Office และ Excel Office

จึงทำให้กลุ่ม Hacker ต้องเปลี่ยนวิธีการโจมตีไปใช้วิธีการอื่น ๆ เช่น ไฟล์ ISO และไฟล์ ZIP ที่เข้ารหัส เนื่องจากช่องโหว่บน Windows ทำให้ไฟล์ ISO images สามารถหลีกเลี่ยงการตรวจสอบของฟีเจอร์ Mark-of-the-Web (MoTW) ซึ่งรวมไปถึง 7-Zip archive utility ด้วยเช่นกัน แต่ต่อมาทาง 7-Zip และ Windows ได้ทำการแก้ไขช่องโหว่ดังกล่าวเรียบร้อยแล้ว ทำให้ Hacker จึงเปลี่ยนมาใช้การส่งไฟล์ OneNote ที่แนบไฟล์ที่เป็นอันตรายแทน (more…)

นักวิจัยจาก Sophos บริษัทด้านความปลอดภัยทางไซเบอร์ ได้เผยแพร่รายงานการพบแคมเปญการแพร่กระจายมัลแวร์ QBot ตัวใหม่ที่ชื่อว่า "QakNote" โดยการใช้ไฟล์แนบ '.one' ของ Microsoft OneNote ที่เป็นอันตรายเพื่อโจมตีเป้าหมายด้วย QBot banking trojan ผ่านทาง Phishing Email ที่แนบไฟล์ OneNote ที่เป็นอันตรายไว้

โดยแคมเปญดังกล่าวถูกค้นพบเมื่อเดือนมกราคม 2023 โดยสืบเนื่องจากการที่ Microsoft ได้ปิดการใช้งานการเรียกใช้คำสั่ง Macro ใน Microsoft Office เป็นค่าเริ่มต้น จึงทำให้เหล่า Hacker ต้องใช้วิธีการอื่นในการโจมตีเหยื่อ

ซึ่ง Hacker สามารถแนบไฟล์ได้เกือบทุกชนิดใน OneNote รวมถึงไฟล์แนบ VBS หรือไฟล์ LNK ซึ่งทำให้เพย์โหลดที่เป็นอันตรายจะถูกเรียกใช้งาน เมื่อเหยื่อดับเบิลคลิกที่ไฟล์แนบที่อยู่ใน OneNote Notebook อย่างไรก็ตามเหยื่อยังจำเป็นต้องคลิกที่จุดใดจุดหนึ่งเพื่อเปิดไฟล์แนบที่ฝังไว้ ทำให้โดยปกติผู้โจมตีจะใช้ปุ่ม 'Double Click to View File' หรือใช้ข้อความอื่นล่อลวงให้เหยื่อกดปุ่ม

Qbot (หรือที่รู้จักกันในนาม QakBot) เป็น banking trojan ที่ได้ถูกพัฒนาจนกลายเป็นมัลแวร์ที่เชี่ยวชาญในการเข้าถึงอุปกรณ์ได้หลากหลาย ทำให้ Hacker สามารถดาวน์โหลดมัลแวร์เพิ่มเติมในเครื่องที่ถูกโจมตี และขโมยข้อมูล รวมถึงติดตั้งแรนซัมแวร์ หรือการโจมตีอื่น ๆ ในเครือข่ายของเป้าหมายได้

QakNote campaign

นักวิจัยจาก Sophos ได้พบว่ากลุ่ม QBot ได้เริ่มโจมตีด้วยแคมเปญใหม่นี้ ตั้งแต่วันที่ 31 มกราคม 2023 ที่ผ่านมา โดยการใช้ไฟล์ OneNote ที่มีแอปพลิเคชัน HTML ที่ฝังไฟล์ HTA ซึ่งจะดาวน์โหลดเพย์โหลดของมัลแวร์ QBot เข้ามาในเครื่องเป้าหมาย เช่นเดียวกับนักวิจัยของ Cynet ที่ได้เผยแพร่การค้นพบ QakNote campaign บน Twitter เมื่อวันที่ 31 มกราคม 2023 เช่นเดียวกัน

โดยสคริปต์ในไฟล์ HTA จะใช้แอปพลิเคชัน curl.

BleepingComputer พบว่า Hackers ได้ปรับเปลี่ยนวิธีการโจมตี โดยการหันมาใช้ Microsoft OneNote ที่ฝังมัลแวร์แนบไปกับ Phishing Email เพื่อเข้าถึงเครื่องเหยื่อจากระยะไกล รวมถึงติดตั้งเพย์โหลดที่เป็นอันตราย เพื่อขโมยไฟล์, รหัสผ่านที่บันทึกไว้บนเบราว์เซอร์, ข้อมูลกระเป๋าเงิน cryptocurrency, การบันทึกภาพหน้าจอ และบันทึกวิดีโอโดยใช้เว็บแคม

โดยการหันมาใช้ Microsoft OneNote ในการโจมตี เกิดขึ้นจากการที่ Microsoft ได้ปิดการใช้งาน macro เป็นค่าเริ่มต้นใน Microsoft Office ซึ่งมักจะเป็นวิธีที่ Hackers เรียกใช้สคริปต์เพื่อติดตั้งมัลแวร์ ทำให้ Hackers ไม่สามารถแพร่กระจายมัลแวร์ผ่านไฟล์แนบรูปแบบ Word และ Excel ได้ จึงต้องหาวิธีการโจมตีในรูปแบบอื่น ๆ มาใช้แทน

Microsoft OneNote ** เป็นแอปพลิเคชันสมุดบันทึกดิจิทัลบนเดสก์ท็อปที่สามารถดาวน์โหลดได้ฟรี และถูกรวมอยู่ใน Microsoft Office 2019 และ Microsoft 365 เนื่องจาก Microsoft OneNote เป็นแอปพลิเคชันที่ถูกติดตั้งโดยค่าเริ่มต้นจากการติดตั้ง Microsoft Office 365 ทำให้ถึงผู้ใช้ Windows จะไม่ได้ใช้แอปพลิเคชันนี้ ก็ยังสามารถเปิดไฟล์ได้

การโจมตีโดย OneNote

Trustwave SpiderLabs บริษัทด้านความปลอดภัยทางไซเบอร์ ได้พบการโจมตีด้วย Phishing Email ที่แนบไฟล์ OneNote ที่เป็นอันตราย ตั้งแต่ช่วงกลางเดือนธันวาคมที่ผ่านมา ซึ่งหัวข้อของ Phishing Email จะประกอบไปด้วยการแจ้งเตือนการจัดส่งของจาก DHL, ใบแจ้งหนี้, แบบฟอร์มการโอนเงินของ ACH, แบบร่าง mechanical และ เอกสารการจัดส่ง

โดยใน OneNote จะอนุญาตให้ผู้ใช้สามารถแทรกไฟล์แนบลงในโปรแกรม NoteBook ได้ ซึ่งเมื่อดับเบิลคลิกจะเป็นการเปิดไฟล์แนบขึ้นมา Hacker จึงได้แนบไฟล์ VBS ที่เป็นอันตรายลงในโปรแกรม NoteBook ซึ่งจะเรียกใช้สคริปต์โดยอัตโนมัติเมื่อดับเบิลคลิก จากนั้นมันจะทำการดาวน์โหลดและติดตั้งมัลแวร์จากเซิร์ฟเวอร์ภายนอก

Hacker จะทำการสร้างไฟล์แนบที่ดูเหมือนไอคอนของไฟล์ใน OneNote ที่เขียนว่า ‘Double click to view file' เหนือไฟล์แนบ VBS ที่เป็นอันตราย ซึ่งมีไฟล์แนบหลายไฟล์ หากผู้ใช้ดับเบิลคลิกที่ใดก็ตามบนแถบ ก็จะเปิดใช้งานทันที

เมื่อเปิดใช้งานเอกสารแนบของ OneNote โปรแกรมจะเตือนว่า ‘การทำเช่นนั้นอาจเป็นอันตรายต่อคอมพิวเตอร์ และข้อมูลของคุณ’ แต่ส่วนใหญ่เหยื่อจะไม่ได้สนใจข้อความดังกล่าว และคลิกปุ่มตกลง

เมื่อคลิกปุ่มตกลงจะเป็นการเปิดสคริปต์ VBS เพื่อดาวน์โหลด และติดตั้งมัลแวร์บนอุปกรณ์ รวมถึงแสดงเอกสาร OneNote ปลอมเพื่อให้เหยื่อไม่สงสัย

นอกจากนี้ยังพบวิธีการโจมตีประเภทอื่น ๆ เช่นการส่ง Phishing Email ที่แนบไฟล์อิมเมจ ISO และไฟล์ ZIP ที่ใส่รหัสผ่าน และใช้ช่องโหว่บน Windows เพื่อหลบเลี่ยงการตรวจสอบจาก mark-of-the-web flags แต่ปัจจุบัน Microsoft ได้แก้ไขช่องโหว่ดังกล่าวไปแล้ว

การป้องกัน

ไม่เปิดอ่านไฟล์จาก E-mail ที่ไม่รู้จัก หรือไม่น่าเชื่อถือ
อ่านคำเตือนที่แสดงโดยระบบปฏิบัติการ หรือแอปพลิเคชันทุกครั้ง ก่อนกดตกลง

ที่มา : bleepingcomputer