Emotet ، Qakbot ، حصان طروادة للوصول عن بعد (RAT) - ما هو القاسم المشترك بينهما؟ —تم تسليمها جميعا من خلال ملفات Microsoft Office OneNote.
عندما عطلت Microsoft وحدات الماكرو افتراضيا في عام 2022 ، تحول المهاجمون إلى استخدام آليات التسليم غير المستندة إلى الماكرو - وكان ملف OneNote المتواضع هو البديل المثالي.
هي ملفات OneNote Secure?
OneNote هو تطبيق إنتاجية شائع في مجموعة Microsoft Office يستخدمه ملايين الأشخاص حول العالم. نظرا لتعدد استخداماته ، أصبح OneNote أداة ملائمة لتدوين الملاحظات وإدارة المعلومات ، وللأسف توزيع البرامج الضارة.
يستخدم OneNote نوع ملف خاص، يشار إليه بامتداد الملف .one، والذي يسمح للمستخدمين بتنسيق الملاحظات باستخدام نص منسق وكتابة يدوية رقمية وكائنات، بما في ذلك الصور والوسائط المتعددة. على الرغم من أن ملفات OneNote ليست ضارة ، إلا أن المتسللين يستغلون تعقيدها لتقديم برامج ضارة عن طريق تضمين أوامر ضارة في الملف. يمكن لهذه الأوامر تنزيل برامج ضارة على جهاز المستخدم ، مما يؤدي إلى عواقب وخيمة مثل فقدان البيانات أو الأجهزة المخترقة أو سرقة الهوية أو الاحتيال المالي.
أصبح OneNote أكثر شيوعا ويمكن الوصول إليه ، وللأسف لا يدرك الأشخاص مخاطر الأمان. يسهل هذا النقص في الوعي على المهاجمين تضمين أوامر ضارة في ملفات OneNote وخداع المستخدمين لتثبيت البرامج الضارة.
تقنيات الهجوم: حملات توزيع البرامج الضارة في OneNote
تستخدم الجهات الفاعلة في مجال التهديد تقنيات الهندسة الاجتماعية المختلفة لتثبيت البرامج الضارة باستخدام ملفات OneNote. عادة ما تتضمن حيلهم التصيد الاحتيالي عبر البريد الإلكتروني وإخفاء حمولة ضارة ضمن مكون OneNote شرعي.
الصور
حدد باحثو الأمن حملة في فبراير 2023 تستخدم صورة ضارة لتوزيع البرامج الضارة Qakbot (المعروفة أيضا باسم QBot). خدع المهاجمون المستخدمين للنقر المزدوج على عنصر تصميم في مستند OneNote. عندما ينقر هدف نقرا مزدوجا فوق العنصر ، ينفذ ملف مضمن سلسلة من الأوامر التي قامت بتنزيل البرامج الضارة وتثبيتها على الجهاز المستهدف. هذه الحملة هي أحد الأمثلة على المهاجمين الذين يستدرجون المستخدمين المطمئنين لتنزيل برامج ضارة على أنظمتهم من خلال ملفات OneNote.
صورة نموذجية لكيفية إخفاء المهاجمين لبرنامج نصي ضار ضمن رسالة في OneNote
الملفات المرفقة وحملة التصيد عبر البريد الإلكتروني
وفي حملة أخرى، أرسل المهاجمون رسائل بريد إلكتروني متسلسلة للرد تحتوي على مرفقات OneNote ضارة متنكرة في شكل مستندات شرعية (على سبيل المثال، الأدلة والفواتير والمستندات الأخرى). باستخدام تقنية مماثلة على النحو الوارد أعلاه ، أخفى المهاجم VBScript شديد التعتيم في هذه المرفقات ، وعند تنفيذه ، قام بتنزيل وتثبيت برنامج Emotet الضار على جهاز الضحية كمكتبة ارتباط ديناميكي (DLL). تعد البرامج الضارة Emotet خطيرة للغاية لأنها تعمل بهدوء على الجهاز المخترق ، أو تسرق معلومات سرية (رسائل البريد الإلكتروني ، وجهات الاتصال) أو تنتظر أوامر من خادم التحكم ، مثل تنزيل حمولات إضافية.
استجابة لهجمات OneNote ، حظرت Microsoft المستخدمين من فتح ملف مضمن بامتداد خطير بدءا من الإصدار 2304 في أبريل 2023. يعرض OneNote مربع حوار يقيد قدرة المستخدم على فتح الملف ، ولكن لا يزال بإمكان المستخدم فتحه بالنقر فوق "موافق".
الارتباطات التشعبية المضمنة
إلى جانب استغلال الملفات المرفقة، يمكن للمهاجمين استخدام عناوين URL أو الارتباطات التشعبية أو الصور في ملفات OneNote لتقديم برامج ضارة. تختلف تكتيكات الهندسة الاجتماعية الخاصة بهم ، لكن الهدف النهائي هو جعل الضحية تنفذ حمولة ضارة.
منع تسليم البرامج الضارة في OneNote من خلال نزع سلاح المحتوى وإعادة بنائه
OPSWAT Deep Content Disarm and Reconstruction (Deep CDR) تتعامل تقنية ( ) مع كل ملف ومكونات الملفات على أنها تهديدات محتملة. عند التعامل مع ملفات معقدة مثل OneNote، من المهم التأكد من عدم وجود مكونات خبيثة محجوبة عن الأنظار - سواء كانت نصاً برمجياً مخفياً خلف صورة أو رابط تشعبي مقنع أو برمجيات خبيثة مدفونة في إحدى علامات تبويبات الدفتر. تعرّف على جميع أنواع الملفات التي يدعمها Deep CDR .
Deep CDR يفحص ملف OneNote وأي مرفقات أو صور أو مكونات أخرى. ثم يقوم بتعقيمها بشكل متكرر وإزالة أي محتوى يحتمل أن يكون ضارًا. في نفس الفحص، تستفيد تقنية OPSWAT Metascan من محركات مكافحة الفيروسات المتعددة لاكتشاف البرمجيات الخ بيثة داخل الملف.
Deep CDR يكتشف الكائن الخبيث في ملف OneNote
وأخيرا، يقوم Deep CDR بإعادة إنشاء ملف OneNote آمن، خال من الكائنات الضارة، مع الاحتفاظ بالوظائف الأصلية للملف. يزيل Deep CDR جميع التهديدات المعروفة والمجهولة ، مما يجعل الملف آمنا للاستخدام.
فيما يلي MetaDefender Core نتيجة الفحص:
الملف الذي تم إعادة إنشائه بواسطة Deep CDR آمن للاستخدام
ملاحظة أخيرة: أفضل الممارسات لحماية ملفاتك
لمنع الهجمات الإلكترونية من إساءة استخدام ملفات OneNote، ضع في اعتبارك تنفيذ إجراءات الأمان التالية:
- توخ الحذر مع رسائل البريد الإلكتروني والمرفقات: توخ الحذر عند تلقي رسائل بريد إلكتروني تحتوي على مرفقات OneNote، خاصة من مرسلين غير معروفين أو مريبين. إذا لم يتم التحقق من المصدر أو بدا مريبا ، فتجنب فتح المرفق.
- حافظ على تحديث البرامج: غالبا ما يستغل المتسللون نقاط الضعف في تطبيقات البرامج لتثبيت البرامج الضارة على الأجهزة. على الرغم من أن Microsoft تعمل باستمرار على تعزيز الحماية ضد ثغرات الثغرات الأمنية ، إلا أنه لا يزال بإمكان المهاجمين عبر الإنترنت استهداف المؤسسات التي تستخدم إصدارات برامج قديمة غير مصححة. لمكافحة هذا ، حافظ على تحديث نظام التشغيل وبرامج مكافحة الفيروسات وجميع التطبيقات ذات الصلة. يضمن تطبيق تحديثات البرامج بانتظام حماية نظامك من الثغرات الأمنية المعروفة.
- توخي الحذر عند استخدام الارتباطات الموجودة في ملفات OneNote: على غرار مرفقات البريد الإلكتروني، كن حذرا عند فتح الارتباطات داخل ملفات OneNote. قد تؤدي هذه الروابط إلى مواقع ويب ضارة يمكن أن تصيب جهازك ببرامج ضارة. افتح فقط الروابط من مصادر موثوقة وتأكد من أن موقع الويب الذي تزوره شرعي وآمن.
- الحماية من الفيروسات: استخدم برامج مكافحة فيروسات حسنة السمعة لفحص كل ملف وارد بحثاً عن البرمجيات الخبيثة المعروفة وغير المعروفة. لتحسين الكفاءة، سيؤدي استخدام محركات متعددة لمكافحة الفيروسات إلى زيادة معدلات اكتشاف البرامج الضارة مقارنةً باستخدام محرك واحد. تعرّف على تقنية OPSWAT Multiscanning .
- إزالة جميع الكائنات التي يحتمل أن تكون ضارة: تساعد التدابير الأمنية مثل Deep CDR المؤسسات على حماية نفسها من تقنيات البرامج الضارة المتقدمة والمراوغة ، بما في ذلك التهديدات المعروفة والمجهولة ، وتهديدات يوم الصفر ، والبرامج الضارة التي لا يمكن اكتشافها والتعتيم. يقلل التعامل مع كل ملف على أنه تهديد محتمل من مخاطر تنفيذ التعليمات البرمجية الضارة عن غير قصد.
لمعرفة المزيد حول تقنياتالكشف عن التهديدات والوقاية منها OPSWAT ، اتصل بأحد خبرائنا التقنيين.
