BleepingComputer พบว่า Hackers ได้ปรับเปลี่ยนวิธีการโจมตี โดยการหันมาใช้ Microsoft OneNote ที่ฝังมัลแวร์แนบไปกับ Phishing Email เพื่อเข้าถึงเครื่องเหยื่อจากระยะไกล รวมถึงติดตั้งเพย์โหลดที่เป็นอันตราย เพื่อขโมยไฟล์, รหัสผ่านที่บันทึกไว้บนเบราว์เซอร์, ข้อมูลกระเป๋าเงิน cryptocurrency, การบันทึกภาพหน้าจอ และบันทึกวิดีโอโดยใช้เว็บแคม

โดยการหันมาใช้ Microsoft OneNote ในการโจมตี เกิดขึ้นจากการที่ Microsoft ได้ปิดการใช้งาน macro เป็นค่าเริ่มต้นใน Microsoft Office ซึ่งมักจะเป็นวิธีที่ Hackers เรียกใช้สคริปต์เพื่อติดตั้งมัลแวร์ ทำให้ Hackers ไม่สามารถแพร่กระจายมัลแวร์ผ่านไฟล์แนบรูปแบบ Word และ Excel ได้ จึงต้องหาวิธีการโจมตีในรูปแบบอื่น ๆ มาใช้แทน

Microsoft OneNote ** เป็นแอปพลิเคชันสมุดบันทึกดิจิทัลบนเดสก์ท็อปที่สามารถดาวน์โหลดได้ฟรี และถูกรวมอยู่ใน Microsoft Office 2019 และ Microsoft 365 เนื่องจาก Microsoft OneNote เป็นแอปพลิเคชันที่ถูกติดตั้งโดยค่าเริ่มต้นจากการติดตั้ง Microsoft Office 365 ทำให้ถึงผู้ใช้ Windows จะไม่ได้ใช้แอปพลิเคชันนี้ ก็ยังสามารถเปิดไฟล์ได้

การโจมตีโดย OneNote

Trustwave SpiderLabs บริษัทด้านความปลอดภัยทางไซเบอร์ ได้พบการโจมตีด้วย Phishing Email ที่แนบไฟล์ OneNote ที่เป็นอันตราย ตั้งแต่ช่วงกลางเดือนธันวาคมที่ผ่านมา ซึ่งหัวข้อของ Phishing Email จะประกอบไปด้วยการแจ้งเตือนการจัดส่งของจาก DHL, ใบแจ้งหนี้, แบบฟอร์มการโอนเงินของ ACH, แบบร่าง mechanical และ เอกสารการจัดส่ง

โดยใน OneNote จะอนุญาตให้ผู้ใช้สามารถแทรกไฟล์แนบลงในโปรแกรม NoteBook ได้ ซึ่งเมื่อดับเบิลคลิกจะเป็นการเปิดไฟล์แนบขึ้นมา Hacker จึงได้แนบไฟล์ VBS ที่เป็นอันตรายลงในโปรแกรม NoteBook ซึ่งจะเรียกใช้สคริปต์โดยอัตโนมัติเมื่อดับเบิลคลิก จากนั้นมันจะทำการดาวน์โหลดและติดตั้งมัลแวร์จากเซิร์ฟเวอร์ภายนอก

Hacker จะทำการสร้างไฟล์แนบที่ดูเหมือนไอคอนของไฟล์ใน OneNote ที่เขียนว่า ‘Double click to view file' เหนือไฟล์แนบ VBS ที่เป็นอันตราย ซึ่งมีไฟล์แนบหลายไฟล์ หากผู้ใช้ดับเบิลคลิกที่ใดก็ตามบนแถบ ก็จะเปิดใช้งานทันที

เมื่อเปิดใช้งานเอกสารแนบของ OneNote โปรแกรมจะเตือนว่า ‘การทำเช่นนั้นอาจเป็นอันตรายต่อคอมพิวเตอร์ และข้อมูลของคุณ’ แต่ส่วนใหญ่เหยื่อจะไม่ได้สนใจข้อความดังกล่าว และคลิกปุ่มตกลง

เมื่อคลิกปุ่มตกลงจะเป็นการเปิดสคริปต์ VBS เพื่อดาวน์โหลด และติดตั้งมัลแวร์บนอุปกรณ์ รวมถึงแสดงเอกสาร OneNote ปลอมเพื่อให้เหยื่อไม่สงสัย

นอกจากนี้ยังพบวิธีการโจมตีประเภทอื่น ๆ เช่นการส่ง Phishing Email ที่แนบไฟล์อิมเมจ ISO และไฟล์ ZIP ที่ใส่รหัสผ่าน และใช้ช่องโหว่บน Windows เพื่อหลบเลี่ยงการตรวจสอบจาก mark-of-the-web flags แต่ปัจจุบัน Microsoft ได้แก้ไขช่องโหว่ดังกล่าวไปแล้ว

การป้องกัน

ไม่เปิดอ่านไฟล์จาก E-mail ที่ไม่รู้จัก หรือไม่น่าเชื่อถือ
อ่านคำเตือนที่แสดงโดยระบบปฏิบัติการ หรือแอปพลิเคชันทุกครั้ง ก่อนกดตกลง

ที่มา : bleepingcomputer

แฮกเกอร์หันมาใช้ SharePoint และเอกสาร OneNote ที่ถูกแฮกเพื่อโจมตีเหยื่อในธุรกิจธนาคารและการเงินโดยการทำฟิชชิ่ง
ผู้โจมตีใช้ประโยชน์จากโดเมนที่ใช้โดยแพลตฟอร์มการทำงานร่วมกันบน SharePoint ของ Microsoft ที่มักจะถูกมองข้ามโดยการรักษาความปลอดภัยเกตเวย์ของอีเมล ซึ่งจะทำให้ข้อความฟิชชิ่งมักเข้าถึงกล่องข้อความเป้าหมายได้โดยไม่มีการตรวจพบ

อีเมลฟิชชิ่งดังกล่าวจะถูกส่งโดยบัญชีที่ถูกแฮกและขอให้เป้าหมายประเมินข้อกฎหมายส่วนบุคคลผ่าน URL SharePoint ที่มากับข้อความภายในอีเมล เมื่อเหยื่อเข้าไปตามลิงค์ดังกล่าวจะพบเอกสารที่อ่านไม่ได้ที่มีลิงค์นำไปยังหน้าฟิชชิ่ง เมื่อเป้าหมายเข้าถึงหน้าฟิชชิ่ง พวกเขาจะเห็นเป็นหน้าเลียนแบบ OneDrive for Business และมีข้อความว่า “เอกสารนี้ปลอดภัย โปรดเข้าสู่ระบบเพื่อดู แก้ไข หรือดาวน์โหลด เลือกตัวเลือกด้านล่างเพื่อดำเนินการต่อ” โดยจะมีตัวเลือกจะให้เลือกว่าจะเข้าสู่ระบบด้วยบัญชี Office 365 หรือบัญชีผู้ให้บริการอีเมลอื่น ซึ่งเทคนิคฟิชชิ่งถูกออกแบบมาในการเก็บข้อมูลส่วนตัวถ้าเป้าหมายไม่ได้ต้องการเข้าสู่ระบบด้วยบัญชี Microsoft

เมื่อเหยื่อหลงกรอกข้อมูล ข้อมูลของเหยื่อจะถูกเก็บด้วยฟิชชิ่ง kit ของ BlackShop Tools และบัญชีของเหยื่อก็ถูกใช้โจมตีต่อไป

ผู้ที่สนใจสามารถอ่านรายงานการค้นพบดังกล่าวพร้อมกับดูรายการ IOC ของแคมเปญนี้ได้จากรายงานของ Cofense ที่ https://cofense.