میکروسافت در جولای 2022، ماکروهای بدخواه را از اسناد آفیس حذف کرد. از آن زمان، فایلهای OneNote Microsoft جایگزین مناسبی برای ماکروها در ایمیلهای فیشینگ شدند. تقریبا هر نوع فایلی مانند فایلهای LNK یا VBS را میتوان در مستندات OneNote جاسازی کرد.
از ابتدای سال میلادی 2023 با رشد بدافزارهایی که از فرمت .one برای آلودهسازی قربانیان استفاده میکنند مواجه هستیم اما بیشتر این موارد حملات بدافزاری در مقیاس کم بودهاند. اخیرا کمپین بدافزاری QakBot، که به QakNote نیز معروف است، از این روش در ابعاد گستردهتری استفاده نموده است. نمونهای از پیامهای ایمیلی ارسال شده توسط این گروه در تصویر نمایش داده شده است.
این مستندات .one بدخواه حاوی یک فایل ضمیمه هستند که برای اجرای آنها میبایست بر روی دکمه open کلیک کرد. نمونهای از یک فایل .one حاوی پیوست در شکل نمایش داده شده است. با کلیک بر روی دکمه open، فایل .hta ضمیمه شده اجرا میشود و نمونهای از بدافزار Qakbot را از سرور راه دور دریافت و اجرا میکند.
به راهبران ایمیل توصیه میشود در صورتی که در سازمان از فایلهای .one به ندرت استفاده میشود، دریافت این نوع فایلها به عنوان ضمیمه را مسدود کنند. همچنین به تمامی کاربران توصیه میشود در هنگام مواجهه با فایلهای .one با احتیاط رفتار کنند و در صورت دریافت ایمیل حاوی فایلهای .one از منابع ناشناس از اجرای آن بپرهیزند.
منبع خبر:
- 302