Cybercriminalité : vague d’attaques via Microsoft OneNote

0
323

Les chercheurs de la société Proofpoint, leader dans les domaines de la cybersécurité et de la conformité, ont publié une nouvelle recherche suite à une utilisation intensive de l’application Microsoft OneNote par les acteurs de la menace. Dans des campagnes d’e-mails provenant d’expéditeurs multiples, les cybercriminels diffusent des logiciels malveillants via des documents OneNote par le biais de pièces jointes et d’URL.

Les recherches montrent que :

  • L’utilisation de documents Microsoft OneNote pour diffuser des malwares est en hausse, et très populaire auprès de nombreux acteurs de la menace.
  • Si certaines campagnes visent des secteurs spécifiques, la plupart sont globales et comptent des milliers de mails infectés.
  • Le malware s’active lorsque l’utilisateur ciblé interagit avec le document OneNote infecté.
  • Les campagnes ont touché de nombreuses entreprises à travers le monde, y compris en Amérique du Nord et en Europe.
  • L’acteur de la menace TA577, revenu d’une période d’inactivité d’un mois, a commencé à utiliser Microsoft OneNote pour diffuser le malware Qbot à la fin du mois de janvier.

L’équipe de chercheurs Proofpoint explique comment :

« depuis plusieurs mois, les acteurs de la menace testent de nouvelles tactiques, techniques et procédures (TTP) pour diffuser des logiciels malveillants par e-mail, parmi lesquels l’utilisation de documents Microsoft OneNote. Une méthode qui tente de manière créative de contourner les radars des antivirus. Néanmoins, pour qu’une infection soit réussie, l’utilisateur doit interagir avec le document OneNote infecté, et donc ignorer les avertissements l’alertant d’un potentiel contenu malveillant. Compte tenu de l’utilisation croissante de OneNote dans les campagnes et de la diversité des charges utiles, il y a fort à parier que davantage d’acteurs adoptent de telles méthodes dans les campagnes à venir. »

L’intégralité de cette recherche est disponible ici.