Investigadores de Trustwave han alertado de la existencia de una campaña de phishing en la que se incluyen supuestos archivos de OneNote. Sin embargo, se trata de servicios que instalan malware en los dispositivos sin que el usuario sea consciente.

En esta campaña de phishing, los ciberdelincuentes incorporan en los correos electrónicos un archivo con la extensión ‘.one’. Generalmente, así terminan los documentos de OneNote, la aplicación gratuita de Microsoft para tomar notas e información y de colaboración multiusuario incluida en Office 2019 y Microsoft 365.

Se trata, por lo tanto, de un tipo de archivo que no se comparte habitualmente, y menos como adjunto en correos electrónicos, de ahí que llamara la atención a los investigadores.

En esta ocasión, detectaron que se desplegaba un botón que instaba al usuario a ver un documento. En él aparece la frase ‘Hacer doble clic para visualizar el archivo’.

campaña phishing archivos microsoft onenote malware alerta noticia bit life media
Fuente: BleepingComputer

Sin embargo, dado que OneNote no admite macros, descubrieron que los ciberdelincuentes habían insertado el botón para engañar a las víctimas y propagar el malware contenido en estos archivos.

Desde Trustwave apuntan que consiguieron poner cuatro archivos WSF de OneNote con carga maliciosa ocultos en este botón. De esta forma, cuando el usuario pincha sobre cualquier punto, se ejecuta uno de estos archivos, el correspondiente según en la parte en la que pulse.

Al hacerlo, el sistema emite una alerta que informa de que se está iniciando un archivo adjunto y que existe el riesgo de dañar el equipo y los datos que guarda.

Ante esta alerta, el usuario tiene la opción de ‘Aceptar’ o ‘Cancelar’. Sin embargo, la mayoría de los usuarios pulsa el botón de ‘Aceptar’ para seguir adelante, en muchas ocasiones, sin leer el mensaje.

Archivos de OneNote falsos como cebo

Una vez que se acepta, ya no hay marcha atrás. En ese momento se inicia el script VBS que descarga e instala el malware que, a su vez, descarga y ejecuta dos archivos desde un servidor remoto.

El primero de estos archivos es un documento señuelo, lo que quiere decir que las víctimas lo pueden visualizar como si se tratase de un documento legítimo.

El segundo, también ejecuta otro malicioso en un segundo plano para instalar ‘malware’ en el dispositivo con el objetivo de robar información del dispositivo.

campaña phishing archivos microsoft onenote malware alerta mensaje noticia bit life media
Fuente: BleepingComputer

Una vez instalado este malware, los actores de amenazas pueden acceder de forma remota al dispositivo de la víctima instalando troyanos. Esto lo utilizan para robar archivos, hacer capturas de pantalla, grabar vídeos con la webcam, acceder a contraseñas del navegador o robar activos de criptocarteras, entre otras cosas.

La mejor manera de protegerse de los archivos adjuntos maliciosos es simplemente no abrir archivos de personas desconocidas o sospechosas. Sin embargo, si abrimos un archivo por error, no hay que ignorar las advertencias que muestra el sistema operativo o la aplicación.

Si aparece una advertencia de que abrir un archivo adjunto o enlace podría dañar el equipo o los archivos que contiene, lo mejor es no pulsar ‘Aceptar’ y cerrar la aplicación.

En el caso de tener dudas sobre la legitimidad de un correo electrónico legítimo, lo mejor es compartirlo con un administrador de seguridad o de Windows para verificar si el archivo es seguro.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre