El phishing no es una amenaza precisamente nueva, pero eso no la hace menos efectiva. Los usarios siguen 'picando' y cada cierto tiempo los ciberdelincuentes le dan una vuelta de tuerca para que sus ataques tengan mayor efectividad.
La firma Proofpoint ha revelado el último 'truco' que están utilizando los piratas informáticos que se siguen sirviendo de estas amenazas. Para entregar la carga maliciosa o malware en sus correos electrónicos están usando documentos de OneNote.
OneNote es un programa para tomar notas que hace las veces de cuaderno digital y forma parte del conjunto de aplicaciones de Microsoft Office365. Sus archivos tiene la extensión .one.
Los emails sospechosos fueron identificados por primera vez en diciembre del año pasado y su número creció significativamente en enero, intentando entregar una de varias cargas de malware diferentes, incluyendo AsyncRAT, Redline, AgentTesla y Doubleback. Todas estarían diseñadas para robar información confidencial de las víctimas, incluyendo sus nombres de usuario y contraseñas.
Los investigadores de ciberseguridad aclaran que la razón principal por la que los cibermalos están camuflando su malware en estos documentos es porque eluden la detección de amenazas más fácilmente que otros archivos adjuntos.
"Según los datos en los repositorios de malware de código abierto, los archivos adjuntos observados inicialmente no fueron detectados como maliciosos por múltiples motores antivirus, por lo que es probable que las campañas iniciales tuvieran una alta tasa de eficacia si el correo electrónico no estaba bloqueado", ha comentado un portavoz de Proofpoint a la web de información tecnológica Zdnet.
"Desde que Microsoft comenzó a bloquear macros de forma predeterminada en 2022, los actores de amenazas han experimentado con muchas tácticas, técnicas y procedimientos (TTP) nuevos, incluyendo el uso de tipos de archivos que antes se observaban con poca frecuencia, como disco duro virtual (VHD), HTML compilado (CHM), y ahora OneNote (.one)", añaden.
Robando para otros cibermalos
Desde Proofpoint también cuentan como un grupo de ciberdelincuentes rastreado como TA577 ha comenzado a aprovechar OneNote en campañas para ofrecer Qbot.
En estos casos no roban información para aprovecharla ellos mismos, sino que actúan como intermediarios de acceso inicial, vendiendo nombres de usuario y contraseñas robadas a otros cibermalos, entre los que se encuentran bandas de ransomware.
Hasta la fecha se han detectado más de 60 de estas campañas y todas compartirían características similares: albergan emails y adjuntos vinculados a facturas, remesas, envíos y temas de temporada, como en Navidad.
Abrir uno de estos correos y pinchar en el enlace que incluye el documento de OneNote puede ser peligroso tanto para el usuario como para su empresa. Proofpoint advierte de que esta táctica puede convertirse en un punto de entrada inicial para distribuir ransomware , lo que podría paralizar toda una organización y una red.