Microsoft OneNote se ha convertido en un formato de archivo muy popular que los ciberdelincuentes están utilizando para propagar malware y acceder a las redes corporativas. Los riesgos que conllevan hacen cada vez más necesarios conocer cómo bloquear los archivos adjuntos maliciosos de phishing de OneNote para que no infecten los equipos Windows.

Los ciberdelincuentes han estado abusando de las macros en documentos de Microsoft Word y Excel durante años para descargar e instalar malware en dispositivos Windows. Cabe recordar que las macros son unos comandos e instrucciones que se agrupan de forma conjunta como un mismo comando para completar una tarea automáticamente y que encontramos en Word y Excel.

Después de que Microsoft finalmente deshabilitara las macros de forma predeterminada en los documentos de estos dos programas, los ciberdelincuentes empezaron a recurrir a otros formatos de archivo menos utilizados para distribuir malware. Los formatos ISO y ZIP protegidos con contraseñas fueron los empleados.

En estos formatos de archivo, un error de Windows permitía que los archivos en imágenes ISO pasaran por alto las advertencias de seguridad de ‘Mark-of-the-Web’ (MoTW).

Sin embargo, después de que 7-Zip y Windows corrigieran estos errores, siguieron los problemas en Windows al mostrar advertencias de seguridad cuando un usuario intentaba abrir archivos en archivos ISO y ZIP descargados. Esto proporcionaba a los ciberdelincuentes otro formato de archivo para usar en los ataques.

Desde mediados de diciembre, los actores de amenazas han recurrido a otro formato de archivo para distribuir malware: los archivos adjuntos de Microsoft OneNote.

¿Por qué Microsoft OneNote?

Los archivos adjuntos de Microsoft OneNote usan la extensión de archivo ‘.one’ y son una opción interesante, ya que no distribuyen malware a través de macros o vulnerabilidades.

En su lugar, los ciberdelincuentes crean plantillas complejas que parecen ser un documento protegido con un mensaje para ‘hacer doble clic’ en un elemento diseñado para ver el archivo.

Sin embargo, lo que no ve en el archivo adjunto es que ese ‘doble clic para ver el archivo’ en realidad oculta una serie de archivos incrustados que se encuentran debajo de la capa del botón.

Al hacer doble clic en el botón, el usuario en realidad hace doble clic en el archivo incrustado y permite que se inicie el archivo. Pese a que se muestra una advertencia de seguridad, los usuarios suelen ignorarlas y permiten que el archivo se ejecute.

Solo se necesita que un usuario permita accidentalmente que se ejecute un archivo malicioso para que toda una red corporativa se vea comprometida en un ataque de ransomware.

campaña phishing archivos microsoft onenote malware noticia bit life media

Cómo bloquear archivos maliciosos de Microsoft OneNote

La mejor manera de evitar que los archivos adjuntos maliciosos de Microsoft OneNote infecten Windows es bloquear la extensión de archivo ‘.one’ en los gateways del email o en los servidores de correo.

No obstante, en los casos en los que no sea posible, también se pueden utilizar las políticas de grupo de Microsoft Office para restringir el lanzamiento de archivos adjuntos incrustados en archivos de Microsoft OneNote.

Para eso, en primer lugar, se deben las plantillas de políticas de grupo de Microsoft 365/Microsoft Office. Una vez instaladas, se encontrarán nuevas políticas bajo el nombre «deshabilitar archivos incrustados» y «extensiones bloqueadas de archivos incrustados».

La primera de las opciones es la más restrictiva, ya que impide que se inicien todos los archivos incrustados de OneNote.

La segunda opción, “extensiones bloqueadas de archivos incrutados”, es menos restrictiva, pero potencialmente más insegura, y permite implementar una lista de extensiones de archivos incrustados que no podrán abrirse en un documento de Microsoft OneNote.

De esta forma, cuando un usuario intente abrir una extensión de archivo bloqueada en un documento de Microsoft OneNote, recibirá el siguiente error.

Evitar ciberataques malware archivos Microsoft OneNote Windows tutorial noticia bit life media

Algunas extensiones de archivo sugeridas para bloquear son .js, .exe, .com, .cmd, .scr, .ps1, .vbs y .lnk. Sin embargo, a medida que los ciberdelincuentes descubren nuevas extensiones de archivo para abusar de ellas, este listado debe actualizarse.

Bloquear cualquier tipo de archivo no siempre es una solución perfecta, pero ayudan a evitar amenazas. Los expertos recomiendan bloquear los archivos adjuntos de OneNote o, al menos, el abuso de los tipos de archivos incrustados, en su entorno para evitar un ciberataque.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre