Investigadores han descubierto una nueva campaña maliciosa que distribuye 'malware' mediante el envío de correos electrónicos con presuntos archivos de Microsoft OneNote adjuntos, que en realidad son servicios que instalan 'software' malicioso en segundo plano en los dispositivos.
Microsoft OneNote es una aplicación gratuita, que sirve para tomar notas, recopilar informaicón y la colaboración multiusuario y que está incluida tanto en el paquete de Microsoft Office 2019 como en Microsoft 365.
Un grupo de investigadores de la compañía de ciberseguridad Trustwave detectaron a mediados de diciembre del pasado año una campaña sospechosa de ser fraudulenta, puesto que incluía en un correo electrónico un archivo terminado en .one.
Debido a que se trata de una extensión poco habitual en esta plataforma de mensajería, los analistas lo investigaron y determinaron que se desplegaba un botón con el que se invitaba al usuario a ver un documento.
Desde BleepingComputer recuerdan que, a diferencia de otros programas de Microsoft, como Word o Excel, OneNote no admite macros, esto es, una serie de instrucciones que se almacenan en el sistema para que se puedan ejecutar de forma secuencial mediante una única orden de ejecución.
OneNote, en cambio, permite a los usuarios insertar archivos adjuntos únicamente haciendo doble clic en un botón. De ahí que los ciberdelincuentes hayan desarrollado un botón de señuelo, a fin de engañar a los receptores de estos correos electrónicos y propagar archivos maliciosos.
Concretamente, han colocado cuatro archivos WSF de OneNote con carga maliciosa ocultos bajo un botón superpuesto que los abarca y oculta, que invita a los usuarios a 'Hacer doble clic para visualizar el archivo'.
Al pulsar sobre cualquier punto de este, el usuario ejecuta uno de estos archivos al azar, es decir, el que se encuentre justo debajo de donde hizo clic. Entonces, el sistema emite una alerta mediante la cual se informa de que se está iniciando un archivo adjunto y que, al hacerlo, existe el riesgo de dañar tanto el equipo como los datos que contiene.
Ante esta alerta de seguridad, que ofrece dos botones ('Aceptar' y 'Cancelar') la gran mayoría de los usuarios pulsa el primero para continuar con el proceso, sin detenerse a leer lo que menciona dicha notificación, según Bleeping Computer.
Al aceptar esta operación, se inicia el script VBS para descargar e instalar 'malware' y este descarga y ejecuta dos archivos desde un servidor remoto. El primero de estos archivos es un documento señuelo, lo que quiere decir que las víctimas lo pueden visualizar como si se tratase de un documento legítimo.
Por el contrario, este archivo VBS también ejecuta otro malicioso en segundo plano para instalar 'malware' en el dispositivo. El objetivo de este 'software' malicioso es robar información del dispositivo.
También una vez instalado este 'malware', los actores de amenazas pueden acceder de forma remota al dispositivo de la víctima para robar archivos, guardar contraseñas del navegador, tomar capturas de pantalla, grabar vídeos utilizando la webcam e, incluso, sustraer activos de criptocarteras.