Emotet, Qakbot, troyanos de acceso remoto (RAT)... ¿qué tienen en común? —Todos se distribuyeron a través de archivos de Microsoft Office OneNote.
Cuando Microsoft desactivó las macros de forma predeterminada en 2022, los atacantes pasaron a utilizar mecanismos de distribución que no se basaban en macros, y el discreto archivo de OneNote resultó ser el sustituto perfecto.
¿Son Secure los archivos de OneNote?
OneNote es una popular aplicación de productividad de la suite Microsoft Office que utilizan millones de personas en todo el mundo. Gracias a su versatilidad, OneNote se ha convertido en una herramienta muy útil para tomar notas, gestionar información y, lamentablemente, distribuir malware.
OneNote utiliza un formato de archivo propio, identificado por la extensión .one, que permite a los usuarios dar formato a las notas con texto enriquecido, escritura digital y objetos, incluidas imágenes y contenido multimedia. Aunque los archivos de OneNote no son maliciosos, los piratas informáticos se aprovechan de su complejidad para distribuir malware mediante la inserción de comandos maliciosos en el archivo. Estos comandos pueden descargar malware en el dispositivo del usuario, lo que puede acarrear consecuencias devastadoras, como la pérdida de datos, el compromiso de la seguridad de los dispositivos, el robo de identidad o el fraude financiero.
OneNote está ganando popularidad y es cada vez más accesible; sin embargo, por desgracia, la gente no es consciente de los riesgos de seguridad que conlleva. Esta falta de concienciación facilita que los atacantes puedan insertar comandos maliciosos en los archivos de OneNote y engañar a los usuarios para que instalen malware.
Técnicas de ataque: campañas de distribución de malware a través de OneNote
Los ciberdelincuentes utilizan diversas técnicas de ingeniería social para propagar malware a través de archivos de OneNote. Sus tácticas suelen consistir en el phishing por correo electrónico y en camuflar una carga maliciosa bajo la apariencia de un componente legítimo de OneNote.
Imágenes
En febrero de 2023, unos investigadores de seguridad identificaron una campaña que utiliza una imagen maliciosa para distribuir el malware Qakbot (también conocido como QBot). Los atacantes engañaban a los usuarios para que hicieran doble clic en un elemento de diseño del documento de OneNote. Cuando la víctima hacía doble clic en el elemento, un archivo incrustado ejecutaba una serie de comandos que descargaban e instalaban el malware en el dispositivo de la víctima. Esta campaña es un ejemplo de cómo los atacantes engañan a usuarios desprevenidos para que descarguen malware en sus sistemas a través de archivos de OneNote.
Imagen de ejemplo que muestra cómo los atacantes pueden ocultar un script malicioso en un mensaje de OneNote
Archivos adjuntos y campaña de phishing por correo electrónico
En otra campaña, los atacantes enviaron correos electrónicos en cadena con archivos adjuntos maliciosos de OneNote camuflados como documentos legítimos (por ejemplo, guías, facturas y otros documentos). Utilizando una técnica similar a la anterior, el atacante ocultó un VBScript muy ofuscado en estos archivos adjuntos y, al ejecutarse, descargaba e instalaba el malware Emotet en el dispositivo de la víctima como una biblioteca de enlace dinámico (DLL). El malware Emotet es muy peligroso porque se ejecuta de forma silenciosa en el dispositivo comprometido, robando información confidencial (correos electrónicos, contactos) o esperando órdenes del servidor de control, como la descarga de cargas útiles adicionales.
En respuesta a los ataques a OneNote, Microsoft ha impedido que los usuarios abran archivos incrustados con una extensión peligrosa a partir de la versión 2304, lanzada en abril de 2023. OneNote muestra un cuadro de diálogo que restringe la posibilidad de abrir el archivo, pero el usuario aún puede abrirlo haciendo clic en «Aceptar».
Enlaces hipervínculos
Además de aprovechar los archivos adjuntos, los atacantes pueden utilizar direcciones URL, hipervínculos o imágenes en los archivos de OneNote para distribuir malware. Sus tácticas de ingeniería social varían, pero el objetivo final es conseguir que la víctima ejecute una carga maliciosa.
Evita la propagación de malware en OneNote mediante la función «Desactivación y reconstrucción de contenido»
La tecnologíaDeep Content Disarm and Reconstruction Deep CDR™)OPSWAT trata cada archivo y cada componente de los mismos como posibles amenazas. Al trabajar con archivos complejos, como los de OneNote, es importante asegurarse de que no haya componentes maliciosos ocultos a simple vista, ya sea un script escondido tras una imagen, un hipervínculo camuflado o malware oculto en una de las pestañas del bloc de notas. Descubre todos los tipos de archivo compatibles con la tecnología Deep CDR™.
La tecnología Deep CDR™ analiza el archivo de OneNote y cualquier archivo adjunto, imagen u otros componentes. A continuación, los depura de forma recursiva y elimina cualquier contenido potencialmente malicioso. En el mismo análisis, la tecnología OPSWAT utiliza varios motores antivirus para detectar malware dentro del archivo.
La tecnología Deep CDR™ detecta objetos maliciosos en archivos de OneNote
Por último, la tecnología Deep CDR™ regenera un archivo de OneNote seguro, libre de objetos maliciosos, al tiempo que conserva la funcionalidad original del archivo. La tecnología Deep CDR™ elimina todas las amenazas conocidas y desconocidas, dejando el archivo listo para su uso.
A continuación se muestra el resultadoCore MetaDefender Core :
El archivo regenerado mediante la tecnología Deep CDR™ es seguro de usar
Una última nota: prácticas recomendadas para proteger tus archivos
Para evitar ciberataques que aprovechen los archivos de OneNote, te recomendamos que apliques las siguientes medidas de seguridad:
- Ten cuidado con los correos electrónicos y los archivos adjuntos: ten cuidado al recibir correos electrónicos con archivos adjuntos de OneNote, sobre todo si proceden de remitentes desconocidos o sospechosos. Si la fuente no está verificada o te parece sospechosa, evita abrir el archivo adjunto.
- Mantén el software actualizado: los hackers suelen aprovechar las vulnerabilidades de las aplicaciones de software para instalar malware en los dispositivos. Aunque Microsoft ha mejorado constantemente la protección contra el aprovechamiento de vulnerabilidades, los ciberatacantes siguen pudiendo atacar a las organizaciones que utilizan versiones antiguas de software sin parches. Para evitarlo, mantén actualizados tu sistema operativo, el software antivirus y todas las aplicaciones pertinentes. La aplicación regular de actualizaciones de software garantiza la protección de tu sistema frente a vulnerabilidades conocidas.
- Ten cuidado con los enlaces que aparecen en los archivos de OneNote: al igual que con los archivos adjuntos de los correos electrónicos, ten cuidado al abrir enlaces que aparezcan en los archivos de OneNote. Estos enlaces pueden llevarte a sitios web maliciosos que pueden infectar tu dispositivo con malware. Abre únicamente enlaces de fuentes fiables y asegúrate de que el sitio web al que accedes es legítimo y seguro.
- Protección antivirus: Utilice un software antivirus de confianza para analizar todos los archivos entrantes en busca de malware conocido y desconocido. Para mejorar la eficacia, el uso de varios motores antivirus aumentará las tasas de detección de malware en comparación con el uso de un solo motor. Obtenga más información sobreMultiscanning OPSWAT Multiscanning .
- Elimine todos los objetos potencialmente maliciosos: las medidas de seguridad, como la tecnología Deep CDR™, ayudan a las organizaciones a protegerse frente a tecnologías de malware avanzadas y evasivas, incluidas tanto las amenazas conocidas como las desconocidas, las amenazas de día cero y el malware indetectable y ofuscado. Tratar cada archivo como una amenaza potencial reduce el riesgo de ejecutar inadvertidamente código dañino.
Para obtener más información sobre las tecnologíasde detección y prevenciónde amenazas OPSWAT , póngase en contacto con uno de nuestros expertos técnicos.
Póngase en contacto con nuestros expertos
