Los ciberdelincuentes están usando Microsoft OneNote para distribuir archivos con malware

Investigadores han descubierto una nueva campaña maliciosa que distribuye malware mediante el envío de correos electrónicos con presuntos archivos de Microsoft OneNote adjuntos, que en realidad son servicios que instalan software malicioso en segundo plano en los dispositivos.

Microsoft OneNote es una aplicación gratuita, que sirve para tomar notas, recopilar información y la colaboración multiusuario y que está incluida tanto en el paquete de Microsoft Office 2019 como en Microsoft 365.

MIRA: Las licencias para Windows 10 dejarán de venderse a partir del 31 de enero

Un grupo de investigadores de la compañía de ciberseguridad Trustwave detectaron a mediados de diciembre del pasado año una campaña sospechosa de ser fraudulenta, puesto que incluía en un correo electrónico un archivo terminado en .one.

Debido a que se trata de una extensión poco habitual en esta plataforma de mensajería, los analistas lo investigaron y determinaron que se desplegaba un botón con el que se invitaba al usuario a ver un documento.

Desde BleepingComputer recuerdan que, a diferencia de otros programas de Microsoft, como Word o Excel, OneNote no admite macros, esto es, una serie de instrucciones que se almacenan en el sistema para que se puedan ejecutar de forma secuencial mediante una única orden de ejecución.

MIRA: Windows soluciona error que borraba los accesos directos a las apps

OneNote, en cambio, permite a los usuarios insertar archivos adjuntos únicamente haciendo doble clic en un botón. De ahí que los ciberdelincuentes hayan desarrollado un botón de señuelo, a fin de engañar a los receptores de estos correos electrónicos y propagar archivos maliciosos.

Concretamente, han colocado cuatro archivos WSF de OneNote con carga maliciosa ocultos bajo un botón superpuesto que los abarca y oculta, que invita a los usuarios a ‘Hacer doble clic para visualizar el archivo’.

Al pulsar sobre cualquier punto de este, el usuario ejecuta uno de estos archivos al azar, es decir, el que se encuentre justo debajo de donde hizo clic. Entonces, el sistema emite una alerta mediante la cual se informa de que se está iniciando un archivo adjunto y que, al hacerlo, existe el riesgo de dañar tanto el equipo como los datos que contiene.

MIRA: Chrome, Firefox y Safari entre las apps con más vulnerabilidades: los reportes aumentaron un 26% en 2022, según análisis

Ante esta alerta de seguridad, que ofrece dos botones (‘Aceptar’ y ‘Cancelar’) la gran mayoría de los usuarios pulsa el primero para continuar con el proceso, sin detenerse a leer lo que menciona dicha notificación, según Bleeping Computer.

Al aceptar esta operación, se inicia el script VBS para descargar e instalar malware y este descarga y ejecuta dos archivos desde un servidor remoto. El primero de estos archivos es un documento señuelo, lo que quiere decir que las víctimas lo pueden visualizar como si se tratase de un documento legítimo.

MIRA: VALL-E, la tecnología desarrollada por Microsoft basada en IA que imita voces con grabaciones de tres segundos

Por el contrario, este archivo VBS también ejecuta otro malicioso en segundo plano para instalar malware en el dispositivo. El objetivo de este software malicioso es robar información del dispositivo.

También una vez instalado este malware, los actores de amenazas pueden acceder de forma remota al dispositivo de la víctima para robar archivos, guardar contraseñas del navegador, tomar capturas de pantalla, grabar vídeos utilizando la webcam e, incluso, sustraer activos de criptocarteras.