Les pirates utilisent des fichiers OneNote pour diffuser des malwares !
Des fichiers OneNote sont utilisés dans le cadre de campagnes de phishing pour distribuer un malware et infecter les ordinateurs des utilisateurs. Grâce à l'infection avec ce malware, les pirates ont un accès à distance à la machine.
Puisque Microsoft a pris la décision de désactiver les macros dans les documents Office, les cybercriminels cherchent de nouvelles façons d'infecter les machines des utilisateurs. Jusqu'ici, les fichiers Excel et Word infectés étaient très fréquents. Désormais, des alternatives sont utilisées comme les fichiers ISO, les archives ZIP, ainsi que les blocs-notes OneNote malveillants !
Inclus à Microsoft Office et Microsoft 365, OneNote est aussi une application autonome disponible gratuitement et que tout le monde peut utiliser pour sa prise de notes. Même si vous n'utilisez pas cette application, elle est probablement installée sur votre PC, si la suite Office est présente. De ce fait, Windows est capable d'ouvrir les fichiers ".one" correspondants à OneNote, et ça, les pirates l'ont bien compris !
Depuis plusieurs mois, les pirates utilisent ce format de fichier pour distribuer un malware dans le cadre de campagnes de phishing (notamment aux couleurs de DHL). D'ailleurs, sur le blog SpiderLabs de Trustwave, il y a tout un rapport à ce sujet.
Un script VBS malveillant intégré aux fichiers OneNote
À la différence de Word et Office, l'application OneNote ne supporte pas les macros. De ce fait, les attaquants utilisent une autre fonction de OneNote : l'intégration de pièces jointes au bloc-notes.
Dans le cas présent, les cybercriminels ont intégré un script VBS malveillant comme pièce jointe au fichier OneNote, et celui-ci sert à télécharger le malware à partir d'un serveur distant.
Pour inciter l'utilisateur à exécuter le script VBS, le message "Double click to view file" s'affiche, laissant entendre que l'utilisateur doit double cliquer pour accéder au contenu du bloc-notes. Même si OneNote affiche un avertissement, il ne faut pas être naïf : la majorité des utilisateurs vont ignorer l'avertissement.
Une fois en place sur la machine, le malware est capable de voler des informations et des données. Les Trojans AsyncRAT et XWorm sont évoqués.
De manière générale, il faut être méfiant à l'ouverture des pièces jointes ! Si vous n'avez pas pour habitude de faire circuler des fichiers OneNote par e-mail, il me semble pertinent de bloquer l'extension ".one".
