I ricercatori di Sophos hanno comunicato di aver individuato una nuova serie di attacchi che vengono messi a segno dai malintenzionati che li dirigono tramite OneNote. La campagna malware sfrutta il trojan bancario QBot ed è stata soprannominata QakNote.
QakNote: QBot tramite OneNote
Gli attacchi hanno origine con l’invio di un’email a target specifici. Il documento OneNote viene scaricato quando l’utente fa clic sul link che si trova nel messaggio o apre l’allegato infetto. Nel documento è presente un’immagine statica che invita a fare clic sul tasto Open.
Facendo clic sul summenzionato pulsante, viene avviata l’esecuzione dell’applicazione HTML che è integrata nel documento e viene quindi avviato il download del malware dal server remoto.
Il tutto viene orchestrato da uno script che passa l’indirizzo del server all’applicazione curl.exe,la quale effettua il download di una DLL nella directory C:\ProgramData. Il malware viene quindi iniettato nel Windows Assistive Technology manager per aggirare i controlli di sicurezza.
OneNote avvisa che il file scaricato può essere pericoloso, ma gli utenti tendono ad ignorare l'avviso e a pensare che in realtà sia affidabile perché l’email pare provenire da un mittente conosciuto.
Per evitare di incappare in minacce informatiche di vario genere, anche quelle che potenzialmente sono in grado di aggirare i controlli di sicurezza del sistema come in tal caso, è sempre bene equipaggiare il proprio computer con un buon software antivirus, come nel caso di Norton 360 Premium che molto spesso viene pure proposto a prezzo scontato.