Comment les pirates utilisent les fichiers OneNote pour diffuser des logiciels malveillants

La propagation de logiciels malveillants peut être difficile car de plus en plus de personnes mettent en œuvre des pratiques de sécurité solides et les logiciels de sécurité deviennent plus sophistiqués. Pour cette raison, les pirates sont toujours à la recherche de nouvelles techniques pour escroquer les victimes.

Les fichiers Microsoft Office étaient autrefois des vecteurs populaires de logiciels malveillants, mais ils sont récemment devenus moins efficaces, en partie parce que la macro n'est plus activée par défaut. La dernière alternative pour les pirates consiste à utiliser les fichiers Microsoft OneNote.

Alors pourquoi les fichiers Microsoft OneNote sont-ils utilisés pour propager des logiciels malveillants et comment devez-vous vous protéger ?

Pourquoi OneNote est-il utilisé pour diffuser des logiciels malveillants?

OneNote est une application de prise de notes populaire développée par Microsoft. Il est conçu pour fournir un moyen simple de prendre des notes rapides et inclut la prise en charge des images, des documents et d'autres codes exécutables.

Il est également idéal pour les pirates. Voici pourquoi.

• En 2022, Microsoft a désactivé la macro dans les fichiers Office. Ceci, ajouté au fait que la plupart des entreprises essaient déjà de se protéger contre les fichiers Office, signifie que les pirates recherchent désormais d'autres formats de fichiers.
• OneNote est une application populaire mais plus important encore, elle est installée par défaut sur tous les ordinateurs Windows. Cela signifie que même si une victime potentielle n'utilise pas activement OneNote, le fichier fonctionnera toujours sur son ordinateur s'il clique dessus.
• OneNote est une application Microsoft et un fichier OneNote apparaît donc digne de confiance. Ceci est important car le logiciel malveillant ne se propage que si les utilisateurs cliquent réellement sur le fichier. Il est également compatible avec d'autres fichiers Microsoft Office et peut y être intégré.
• Le logiciel permet d'intégrer de nombreux types de contenu différents. Cela permet aux pirates d'employer une variété de techniques pour initier des téléchargements de logiciels malveillants.
• OneNote n'a jamais été utilisé pour distribuer de grandes quantités de logiciels malveillants. Pour cette raison, la plupart des gens ne se méfient pas de ces fichiers et les entreprises ne sont pas nécessairement équipées pour se défendre contre les attaques qui les utilisent.

Qui est ciblé?

Les attaques impliquant des fichiers OneNote ciblent principalement les entreprises. Les fichiers OneNote sont joints aux e-mails, puis envoyés en masse aux employés. Les fichiers sont souvent attaché aux e-mails de phishing, qui visent à voler des informations, mais peuvent être joints à tout type d'e-mail.

Si les salariés des entreprises sont la cible la plus rentable, les particuliers sont aussi des victimes potentielles. Une attaque réussie contre un individu sera moins rentable mais peut être plus facile à mener. Pour cette raison, tout le monde doit faire attention aux pièces jointes OneNote douteuses.

Comment OneNote est-il utilisé par les escrocs?

Des fichiers OneNote malveillants sont distribués dans des e-mails qui traitent de sujets courants tels que les factures et l'expédition. Ils incluent également une raison apparemment valable pour laquelle le destinataire doit télécharger le fichier.

Certains e-mails incluent un fichier OneNote malveillant en pièce jointe. D'autres messages dirigent l'utilisateur vers un site Web malveillant où il est ensuite invité à télécharger le fichier OneNote.

Lors de son ouverture, la victime sera invitée à cliquer sur un type de graphique. Ce faisant, un fichier intégré sera exécuté. Les fichiers intégrés sont généralement conçus pour exécuter des commandes PowerShell qui téléchargent des logiciels malveillants à partir de serveurs distants.

Quel logiciel malveillant est installé?

Les fichiers OneNote sont utilisés par des attaquants avec une variété d'approches différentes. Pour cette raison, de nombreux types de logiciels malveillants différents sont impliqués, notamment les rançongiciels, les chevaux de Troie et les voleurs d'informations.

Logiciels de rançon

Les rançongiciels sont conçus à des fins d'extorsion. Une fois installés, tous les fichiers d'un système sont chiffrés et ne sont pas accessibles sans une clé de déchiffrement qui doit être achetée auprès de l'attaquant.

Chevaux de Troie d'accès à distance

Un cheval de Troie d'accès à distance (RAT) est un logiciel malveillant qui permet à un attaquant de contrôler un appareil à distance. Une fois installé, un attaquant peut envoyer des commandes à une machine et installer d'autres types de logiciels malveillants.

Voleurs d'informations

Un voleur d'infos est un type de cheval de Troie utilisé pour voler des données privées. Les voleurs d'informations sont souvent utilisés pour voler des identifiants de connexion tels que des mots de passe ainsi que des informations financières. Une fois qu'un voleur d'informations est installé sur votre ordinateur, un pirate peut accéder à vos comptes privés.

Comment se protéger contre les fichiers OneNote malveillants

Heureusement, il n'est pas difficile de se défendre contre les attaques impliquant des fichiers OneNote malveillants. Ils comptent sur la négligence des gens, et vous pouvez donc vous protéger en prenant quelques précautions de sécurité de base.

Ne pas télécharger les pièces jointes aux e-mails

Les fichiers OneNote malveillants ne sont exécutés que s'ils sont téléchargés. Les pièces jointes ne doivent jamais être téléchargées à moins que vous ne soyez sûr de connaître l'expéditeur.

Fichiers de sauvegarde

Le ransomware est moins une menace si tous les fichiers importants sont sauvegardés et que la sauvegarde est conservée dans un emplacement séparé, c'est-à-dire qu'elle n'est pas encore branchée sur votre machine (car le ransomware le chiffrera également). Il convient de noter que se défendre contre les ransomwares de cette manière n'empêche pas les pirates d'accéder aux données et de menacer de les divulguer.

Utiliser l'authentification à deux facteurs

Les chevaux de Troie d'accès à distance peuvent être utilisés pour voler des mots de passe. Pour vous défendre contre cela, vous devez ajouter une authentification à deux facteurs à tous vos comptes. L'authentification à deux facteurs empêche quiconque de se connecter à vos comptes à moins qu'il ne fournisse également une deuxième information telle qu'un code envoyé à votre appareil. Une fois activé, votre mot de passe pourrait être volé et le voleur ne pourra toujours pas accéder à votre compte.

Utiliser un logiciel antivirus

De nombreux types de rançongiciels et de chevaux de Troie d'accès à distance seront empêchés de s'exécuter si vous avez une suite antivirus. Les antivirus, cependant, ne doivent pas être considérés comme la seule ligne de défense, car de nombreux fichiers OneNote malveillants sont spécifiquement conçus pour les contourner.

Les entreprises devraient offrir une formation aux employés

Toutes les entreprises doivent sensibiliser leur personnel à cette menace. Les employés doivent savoir à quoi ressemblent les e-mails de phishing et ne devrait pas être autorisé à télécharger des pièces jointes.

Les fichiers OneNote sont idéaux pour les pirates

Les fichiers OneNote sont idéaux pour propager des logiciels malveillants. Ce sont des fichiers de confiance qui peuvent s'exécuter sur les ordinateurs de la plupart des gens. Ils ne sont pas non plus associés à des logiciels malveillants, de sorte que de nombreuses entreprises ne sont pas équipées pour se défendre contre eux.

Quiconque exécute un fichier OneNote malveillant peut voir ses données cryptées ou ses informations personnelles volées. Le premier nécessite le paiement d'une rançon tandis que le second peut entraîner des piratages de compte et des fraudes financières.

Les entreprises et les particuliers doivent être conscients de cette menace et peuvent s'en protéger en suivant des mesures de sécurité de base.