Buďte obezřetní, když vám přijde zpráva se souborem OneNote v příloze. Objevily se případy jejich zneužívání k šíření malwaru. Je to pro zločince další cesta, jak se dostat k našim údajům či financím. Podívejme se, jak to funguje, a jak ohrožení předejít. 

Podle NÚKIB evidují kyberbezpečnostní firmy zvýšené množství phishingových kampaní, které k šíření škodlivého softwaru používají právě OneNote.   

Aplikace OneNote: Jedná se v podstatě o digitální zápisník na poznámky. Nástroj je součástí balíčku Microsoft 365. Umožňuje mj. vkládat jako přílohy celé dokumenty, a tak je možné ho zneužít. 

Jak to celé funguje?  

  • Uživateli přijde e-mail s přílohou v podobě poznámkového souboru Microsoft OneNote. Soubor má koncovku .one a může se tvářit třeba jako potvrzení objednávky, faktura, dokumenty k daním, podklady pro vyzvednutí zásilky a podobně. 
  • Text e-mailu ho vyzývá, aby soubor otevřel a něco v něm zkontroloval, doplnil. Například proto, aby zboží mohlo být odesláno. Věc je samozřejmě podle odesilatele „urgentní”
  • Když oběť přílohu otevře, uvidí dokument s rozostřeným textem. Ten je překryt nápisem „Double Click To View File“. Tedy dvakrát klikněte pro zobrazení obsahu, který soubor ukrývá.  
Zneužití OneNote pro šíření malwaru.
  • Soubor však pod nápisem skrývá řadu příloh, takže kdekoliv na nápis kliknete, ve skutečnosti klikáte již na škodlivý soubor a tím ho otevřete. 
  • Na obrazovce se sice poté objeví ještě okno s varováním, že daný typ souboru může být nebezpečný, ale ruku na srdce, ne každý ho čte, natož uposlechne. Stačí potvrdit, že soubor chcete opravdu otevřít, a spustíte tak instalaci škodlivého programu ze vzdáleného serveru do svého počítače. 
  • Cílem takové akce může být krádež citlivých informací a hesel, ale programy umí také pořizovat screenshoty obrazovky nebo v některých případech dokonce natáčet videa přes webkameru, a tak majitele počítače špehovat. V ohrožení jsou i vlastníci kryptopeněženek, které je takto možné ukrást.  

Víte, že? Nejčastěji se zatím tímto způsobem šířily škodlivé programy AsyncRAT, Quasar RAT, Redline a Xworm. 

Jak se bránit 

Pro uživatele zde platí už potisící opakované. Neklikejte, pokud neznáte odesilatele nebo si nejste jisti, o co jde. Nestyďte se také v případě pochybností kontaktovat svého firemního ajťáka

Systémově pak je možné zakázat stahování souborů .one v e-mailové aplikaci. Dalším možným opatřením je omezit otevírání veškerých souborů z OneNote nebo zablokovat vybrané přípony u vložených souborů. Toto nastavení lze provést v Editoru místních zásad skupiny. 

Jak omezit otevírání souborů v Editoru místních zásad skupiny

Proč zrovna OneNote 

Nárůst kampaní s využitím OneNote je zřejmě důsledkem toho, že Microsoft loni v červenci zakázal v základním nastavení Wordu a Excelu používání maker. To byl do té doby dost častý způsob, jak se hackeři dostávali ke svým obětem. A jak je vidět, okamžitě si bohužel našli novou cestu. 

OneNote však není jediný. Kromě něj jsou v současné době častěji rizikové i další typy souborů: 

  • obraz disku v souboru ISO 
  • ZIP soubory chráněné heslem 

Jejich využívání nejspíš klesne poté, co Microsoft zalepil díru, která těmto typům souborů umožňovala obejít bezpečnostní varování. I když je často uživatelé ignorují, přesto jistou část to od kliknutí přece jen odradí a účinnost takových podvodných kampaní je menší. 

A jak máte nastavenou kybernetickou bezpečnost ve své firmě vy? Pokud si nejste jisti, uděláme audit a pomůžeme vám obranu proti kyberútokům vylepšit. Dejte nám vědět.