
Conseils sur les cybermenaces : diffusion de malwares via OneNote
De nombreux pirates utilisent désormais des documents OneNote pour diffuser des malwares. Rien qu'au cours du mois dernier, plus de 50 campagnes OneNote délivrant différentes charges utiles de malwares via des pièces jointes ont été recensées.
Nature de la menace
Selon des rapports récents et le comportement observé par Barracuda SOC, les pirates mettent désormais en œuvre des campagnes de malware en utilisant des documents Microsoft OneNote. En décembre 2022, seules six campagnes utilisant OneNote pour diffuser le malware AsyncRAT ont été identifiées. Un mois plus tard, selon les rapports, plus de 50 campagnes ont été repérées, offrant Redline Stealer, AgentTesla et DOUBLEBACK. Le pirate TA577 a notamment utilisé OneNote pour introduire Qbot vers la fin du mois de janvier 2023.
Les fichiers de OneNote, appelés NoteBooks, permettent aux utilisateurs d'ajouter des pièces jointes, qui peuvent télécharger des malwares. Les documents OneNote contiennent des fichiers intégrés, souvent dissimulés ou cachés sous une image qui ressemble à un bouton. Si l'utilisateur double-clique sur le fichier inclus, un avertissement lui sera adressé. S'ils continuent, le fichier, qui peut être n'importe quel type d'exécutable, comme les fichiers LNK, HTA ou WSF, sera exécuté.
Barracuda XDR Endpoint Security avec SentinelOne a constaté que plusieurs fichiers .one nuisibles ont été neutralisés et mis en quarantaine dans les environnements des clients. Aucune valeur de hachage des fichiers malveillants n'a été signalée par VirusTotal, ce qui souligne l'importance des systèmes de protection des terminaux basés sur le comportement. Contrairement aux logiciels AV classiques qui reposent essentiellement sur des méthodes de détection basées sur les signatures, SentinelOne a été en mesure d'identifier immédiatement les comportements suspects et de remédier à ces menaces.
Pourquoi est-ce important ?
Lorsque Microsoft a commencé à rejeter les macros par défaut en janvier 2022, les pirates ont dû trouver de nouveaux moyens de diffuser leurs malwares. En juillet 2022, le pourcentage de malwares Office avait considérablement diminué. Afin d'identifier de nouveaux vecteurs de distribution des malwares, les pirates ont expérimenté d'autres types de fichiers, tels que les fichiers LNK, RAR, IMG et ISO. Au fur et à mesure des recherches effectuées par les pirates quant à la meilleure méthode de diffusion, différents types de fichiers se succéderont. Les fichiers OneNote malveillants ne sont pas près de disparaître, du moins pour l'instant. Au moment de la publication, aucune valeur de hachage de OneNote observée par Barracuda XDR n'a été détectée par les fournisseurs de sécurité sur VirusTotal.
Quel est le risque ou le degré d'exposition ?
Si la méthode de diffusion est nouvelle, les e-mails par phishing sont une histoire vieille comme le monde. Les personnes les plus exposées à cette nouvelle tactique seront celles qui n'investissent pas dans les formations de sensibilisation à la sécurité. Une entreprise peut déployer tous les efforts possibles en matière de sécurité, en utilisant les technologies les plus récentes et les plus performantes en matière de cybersécurité. Le plus grand risque pour la sécurité restera toujours l'erreur humaine.
Quelles sont les recommandations ?
Barracuda MSP recommande les actions suivantes afin de prévenir ces types d'attaques :
- Formez vos employés :
- Ne cliquez pas sur des liens dans vos e-mails ou ne téléchargez pas de pièces jointes envoyés par des expéditeurs inconnus ou douteux.
- N'ignorez pas les messages d'avertissement dans des programmes tels que Word, Excel ou OneNote. Les avertissements sont ennuyeux à dessein !
- Utilisez les campagnes de formation à la sensibilisation au phishing pour tester les habitudes des employés en matière de sécurité des e-mails.
- Activez l'authentification multifactorielle (MFA) dans la mesure du possible. Jusqu'à 99 % des violations de données peuvent être évitées si les employés sont protégés par un système MFA.
- Adoptez une bonne hygiène basique en matière de cybersécurité. Cela comprend une surveillance proactive 24h/24, 7j/7 et 365 jours par an, une stratégie de cybersécurité avec une défense en profondeur et un centre d'opérations de sécurité (SOC). La mise en œuvre d'une protection avancée des terminaux, telle que Barracuda XDR Endpoint Security, peut minimiser le nombre de fichiers contenant des malwares tels que ces documents OneNote avant qu'ils n'infectent le système de l'utilisateur.
- L'équipe SOC de Barracuda a développé et activé une nouvelle règle afin de prévenir cette menace. Nos clients seront avertis lorsque cette menace sera détectée dans leur environnement.
RÉFÉRENCES
Pour plus d'informations sur les recommandations, veuillez consulter les liens suivants :
- https://www.crn.com/news/security/microsoft-onenote-evernote-phishing-attacks-are-threat-to-msps
- https://www.techradar.com/news/malicious-use-of-microsoft-onenote-documents-on-the-rise
- https://www.bleepingcomputer.com/news/security/hackers-now-use-microsoft-onenote-attachments-to-spread-malware/

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter