Cyberattaque

Les pirates utilisent désormais les pièces jointes de Microsoft OneNote pour diffuser des logiciels malveillants

Par Philippe Ternision , le 23 janvier 2023 , mis à jour le 23 janvier 2023 - 6 minutes de lecture
hacker russie
Notez l'article

Les acteurs de la menace utilisent de plus en plus les pièces jointes OneNote dans leurs courriels de phishing, qui infectent les victimes avec des logiciels malveillants d’accès à distance pouvant être utilisés pour installer d’autres logiciels malveillants, voler des mots de passe ou même accéder à des portefeuilles de crypto-monnaies.

Après avoir employé pendant des années des pièces jointes Word et Excel malveillantes qui lancent des macros pour télécharger et installer des logiciels malveillants, les attaquants utilisent désormais cette méthode pour diffuser des logiciels malveillants par le biais d’emails.

Cependant, Microsoft a finalement interdit les macros comme paramètre par défaut dans les documents Office en juillet, rendant ainsi cette technique inutile pour la diffusion de logiciels malveillants.

L’utilisation de nouveaux formats de fichiers par les acteurs de la menace a suivi peu après, notamment l’utilisation d’images ISO et de fichiers ZIP protégés par mot de passe. Un problème de Windows permettant aux images ISO d’éviter les alertes de sécurité et l’incapacité du célèbre utilitaire d’archivage 7-Zip à propager les indicateurs de marque de web aux fichiers extraits des archives ZIP ont contribué à la propagation rapide de ces types de fichiers.

Lorsqu’un utilisateur tente d’ouvrir des fichiers dans des fichiers ISO et ZIP téléchargés, Windows affiche des avertissements de sécurité inquiétants ; néanmoins, tant 7-Zip que Windows ont récemment corrigé ces vulnérabilités.

Mark of the Web propagated to files inside an ISO
La marque du Web s’est propagée aux fichiers contenus dans un ISO
Source : BleepingComputer

Ne se laissant pas décourager, les acteurs de la menace se sont rapidement mis à utiliser un nouveau format de fichier dans leurs pièces jointes de spam malveillant (malspam) : Les pièces jointes Microsoft OneNote.

Utilisation abusive des pièces jointes OneNote

Un programme de carnet numérique de bureau appelé Microsoft OneNote est disponible en téléchargement gratuit et fait partie de Microsoft Office 2019 et Microsoft 365.

Même si un utilisateur de Windows n’utilise pas l’application, il est toujours possible d’ouvrir le format de fichier car Microsoft OneNote est installé par défaut dans toutes les installations de Microsoft Office/365.

Les experts en cybersécurité ont averti que les acteurs de la menace ont commencé à envoyer des courriels de spam avec des pièces jointes OneNote qui sont dangereuses depuis la mi-décembre.

Selon les échantillons découverts par BleepingComputer, ces courriels de spam se font passer pour des alertes d’expédition, des factures, des formulaires de versement ACH, des dessins mécaniques et des documents d’expédition de DHL.

Fake DHL email with a OneNote attachment
Faux courriel DHL avec une pièce jointe OneNote
Source : BleepingComputer

OneNote ne prend pas en charge les macros, contrairement à Word et Excel, et c’est ainsi que les acteurs de la menace lançaient auparavant des scripts pour diffuser des logiciels malveillants.

En guise d’alternative, OneNote permet aux utilisateurs d’ajouter des pièces jointes à un bloc-notes qui, lorsqu’on double-clique dessus, ouvre la pièce jointe.

Les acteurs de la menace utilisent cette fonctionnalité en joignant des pièces jointes VBS malveillantes qui, lorsqu’elles sont doublement cliquées, exécutent un script qui télécharge et installe des logiciels malveillants à partir d’un site Web distant.

Les acteurs de la menace superposent une grande barre “Double-cliquez pour afficher le fichier” sur les pièces jointes VBS insérées afin de les masquer, car les pièces jointes ressemblent à l’icône d’un fichier dans OneNote.

Malicious OneNote email attachment
Pièce jointe d’un courriel OneNote malveillant
Source : BleepingComputer

Vous pouvez remarquer que la pièce jointe malveillante comporte de nombreuses pièces jointes lorsque vous faites glisser la barre Cliquer pour afficher le document. En raison de cette rangée de pièces jointes, lorsqu’un utilisateur double-clique sur la barre, celle-ci lance la pièce jointe en question.

Hidden OneNote attachments
Pièces jointes OneNote cachées
Source : BleepingComputer

Heureusement, le programme vous avertit que le lancement de pièces jointes OneNote peut endommager votre ordinateur et vos données.

Mais malheureusement, l’histoire nous a montré que les gens ignorent généralement ce genre de messages et cliquent simplement sur OK.

OneNote attachment security warning
Avertissement de sécurité concernant les pièces jointes de OneNote
Source : BleepingComputer

Le script VBS de téléchargement et d’installation du malware démarre lorsque le bouton OK est cliqué. Le script télécharge et exécute deux fichiers depuis un serveur distant, comme le montre l’un des fichiers VBS OneNote malveillants découverts par BleepingComputer.

Le premier document OneNote est une ruse qui s’ouvre et ressemble à celui que vous attendiez. Cependant, afin d’infecter l’appareil avec des logiciels malveillants, le fichier VBS va également exécuter secrètement un fichier batch malveillant.

Malicious VB script attached to a OneNote attachment
Script VB malveillant joint à une pièce jointe OneNote
Source : BleepingComputer

Les fichiers OneNote installés dans des courriels de spam par BleepingComputer contiennent des chevaux de Troie d’accès à distance capables de voler des informations.

Les chevaux de Troie d’accès à distance AsyncRAT et XWorm ont été installés par les pièces jointes OneNote que James a examinées, un chercheur en cybersécurité, a vérifié auprès de BleepingComputer.

Se protéger contre ces menaces

Une fois installé, ce type de malware permet aux acteurs de la menace d’accéder à distance à l’ordinateur d’une victime et de voler des données, des mots de passe de navigateur enregistrés, des captures d’écran et, dans certains cas, des vidéos utilisant des webcams.

Cette infection est coûteuse car les acteurs de la menace déploient fréquemment des trojans d’accès à distance pour voler les portefeuilles de crypto-monnaies des appareils des victimes.

Le simple fait de refuser d’ouvrir des fichiers provenant de personnes que vous ne connaissez pas est la meilleure défense contre les pièces jointes de logiciels malveillants. N’ignorez pas les avertissements du système d’exploitation ou de l’application si vous ouvrez accidentellement un fichier.

Choisissez simplement de ne pas cliquer sur OK et quittez le programme si vous remarquez un avertissement indiquant que l’ouverture d’une pièce jointe ou d’un lien pourrait endommager votre ordinateur ou vos fichiers.

Si vous pensez que l’e-mail est authentique, partagez-le avec un expert en sécurité ou un administrateur Windows afin qu’il puisse vous aider à déterminer si le fichier est sûr.

 

 

Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.