Flera fall av nätfiske med liknande angreppssätt

Under den senaste tiden har CERT-SE blivit uppmärksammade på flera fall av nätfiske med liknande angreppssätt. Angriparna använder tidigare e-postkonversationer för att framstå som legitima och utnyttjar funktioner i Microsoft OneNote för att sprida skadlig kod.

Angripare har sedan lång tid tillbaka utnyttjat macron i Microsoft Word och Excel för att sprida skadlig kod. I juli 2022 ändrade Microsoft grundinställningarna för Office dokument så att macron är avstängda om inget annat ställts in av användaren eller användarens organisation. Angripare har sedan dess i högre utsträckning använt andra typer av filer och Microsoft OneNote-dokument har nu blivit mer vanligt förekommande. [1]

För att framstå som trovärdiga kan angriparna använda tidigare e-postkonversationer. E-postkonversationerna kan komma från tidigare läckor hos någon part som varit del av konversationen.

Tillvägagångssätt

Nedan beskrivs ett typexempel baserat på vad CERT-SE observerat:

• En användare tar emot ett tillsynes legitimt e-postmeddelande som innehåller en fortsättning av en e- postkonversation där mottagaren tidigare varit part i konversationen.
• I e-postmeddelandet finns en uppmaning att öppna ett dokument som sägs ha med ärendet att göra. Uppmaningen kan se ut på olika sätt.
• Mottagaren av e-postmeddelandet kommer åt dokumentet genom att följa en länk. Om dokumentet öppnas kan skadlig kod komma att köras.

Rekommendationer

CERT-SE uppmanar till vaksamhet på nätfiske i allmänhet och den ovan beskrivna typen i synnerhet. Kontakta gärna CERT-SE med observationer.

CERT-SE rekommenderar att OneNote-dokument som innehåller bilagor blockeras, förutsatt att de inte används i verksamheten. I den här e-postkampanjen levereras OneNote-dokumenten via länkar till externa webbsidor. Dokumenten kan vara inbakade i ett zip-arkiv. Inställningar som förhindrar öppning av sådana filer kan göras i Windows-miljön [2, 3].

CERT-SE rekommenderar vidare att anställda informeras om metoderna angriparna använder och om att de ska vara extra vaksamma.

CERT-SE har tidigare publicerat information om att förebygga och identifiera nätfiske. Se även artikeln CERT-SE uppmanar alla organisationer att skärpa uppmärksamheten kring nätfiske och DDoS.

Källor

[1] https://www.bleepingcomputer.com/news/security/hackers-now-use-microsoft-onenote-attachments-to-spread-malware/

[2] https://isc.sans.edu/diary/Detecting+Malicious+OneNote+Files/29494/

[3] https://isc.sans.edu/diary/A%20First%20Malicious%20OneNote%20Document/29470