Cibercriminosos usam OneNote como novo canal de distribuição de Malware
Qakbot, Qbot, Pinkslipbot, QuakBot, um malware sofisticado com vários nomes. Ele está ativo há mais de uma década e, em janeiro, os pesquisadores observaram campanhas do Qakbot usando documentos do OneNote para propagar a distribuição.
Isso marca o Qbot como outro em uma série de vários malwares que usam esse método de distribuição. As campanhas alternam entre dois vetores de ataque: uma URL incorporada no e-mail para baixar o arquivo malicioso e um arquivo malicioso como anexo de e-mail.
Os documentos do OneNote apresentam um botão de chamada para ação que, uma vez clicado, executa a carga útil. O Qakbot usa várias técnicas de evasão, incluindo antidepuração, análise antidinâmica, anti-AVs e comunicação C2 criptografada. Os pesquisadores observaram duas campanhas paralelas de spam, apelidadas de Qaknote, disseminando anexos maliciosos do OneNote com um aplicativo HTML incorporado.
Os pesquisadores compartilharam TTPs para detectar e mitigar essa ameaça. Essas medidas incluem o bloqueio de e-mails contendo anexos com extensões incomuns, evitando sites maliciosos e bloqueando domínios de nível superior raramente usados.
Fonte: BoletimSec
Publicado em: Cybersegurança