CERT-AgID, in crescita l’impiego di OneNote come vettore malware anche in Italia

Anche in Italia cresce l’utilizzo di documenti OneNote come vettore malware. Dopo le misure di contrasto prese da Microsoft contro la diffusione di malware tramite documenti Office (disabilitazione delle macro VBA e introduzione del flag Mark of the Web) sono infatti già diversi gli attori malevoli che hanno scelto di utilizzare OneNote (un’applicazione Microsoft che fa parte della suite Office) in alternativa ai file Office e ai contenitori ISO e IMG.

Le campagne malspam rilevate

Secondo Il CERT-AgID che ha monitorato il fenomeno nel panorama italiano sarebbero 10 le campagne malspam rilevate negli ultimi cinque mesi che hanno sfruttato per l’appunto i documenti OneNote come vettore di attacco iniziale per distribuire 5 diverse famiglie di malware:

  • AsyncRat, una campagna nel mese di dicembre 2022 afferente al gruppo TA558;
  • Qackbot, quattro campagne nei mesi di gennaio e febbraio 2023 afferenti al gruppo TA551 e due campagne nel mese di aprile 2023;
  • SystemBC, una campagna nel mese di marzo 2023 afferente al gruppo TA577;
  • Emotet, una campagna nel mese di marzo 2023 afferente al gruppo TA542;
  • Adwin, una campagna nel mese di aprile 2023 afferente al gruppo TA558;
Famiglie di malware che hanno fatto uso di documenti OneNote (Fonte CER-AgID)

La catena d’infezione

Il modus operandi è sempre lo stesso con l’obiettivo di indurre l’utente con l’inganno a compiere un’azione affinchè venga attivata la catena di infezione.

Catena di infezione osservata in Italia (FontE CERT-AgID)

Una e-mail a tema documenti, pagamenti/spedizioni, propone un documento OneNote come allegato o tramite link presente nel corpo del messaggio (a volte compresso in archivi ZIP/TAR o richiamato da un link contenuto in un file PDF).

In tutti i casi il file .ONE può eseguire il payload in background tramite file MSI o file script di tipo cmd, chm, vbe, hta.

I file .ONE sono semplici da realizzare, non beneficiano della protezione Mark-of-the-Web (MotW) e, soprattutto, possono essere facilmente armati con script malevoli pronti per essere eseguiti con un semplice doppio click da parte dell’utente. Nonostante l’applicazione OneNote avvisi l’utente tramite un popup che si sta tentando di avviare un file allegato al documento, le vittime normalmente non badano all’avviso e cliccano sul pulsante “OK” per eliminarlo, consentendo di fatto l’esecuzione dello script malevolo.“, commentano gli esperti del CERT-AgID.

Raccomandazioni

Alla luce di tutto questo il CER-AgID consiglia di mantenere sempre aggiornate le firme antivirus e rendere gli utenti consapevoli dei possibili rischi correlati anche all’uso di documenti OneNote condivisi da terze parti o da presunte fonti legittime.

Su Salvatore Lombardo 384 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.