Investigadores han descubierto una nueva campaña maliciosa que distribuye malware mediante el envío de correos electrónicos con presuntos archivos de Microsoft OneNote adjuntos, que en realidad son servicios que instalan software malicioso en segundo plano en los dispositivos.
Microsoft OneNote es una aplicación gratuita, que sirve para tomar notas, recopilar información y la colaboración multiusuario y que está incluida tanto en el paquete de Microsoft Office 2019 como en Microsoft 365.
MIRA: Las licencias para Windows 10 dejarán de venderse a partir del 31 de enero
Un grupo de investigadores de la compañía de ciberseguridad Trustwave detectaron a mediados de diciembre del pasado año una campaña sospechosa de ser fraudulenta, puesto que incluía en un correo electrónico un archivo terminado en .one.
Debido a que se trata de una extensión poco habitual en esta plataforma de mensajería, los analistas lo investigaron y determinaron que se desplegaba un botón con el que se invitaba al usuario a ver un documento.
Desde BleepingComputer recuerdan que, a diferencia de otros programas de Microsoft, como Word o Excel, OneNote no admite macros, esto es, una serie de instrucciones que se almacenan en el sistema para que se puedan ejecutar de forma secuencial mediante una única orden de ejecución.
MIRA: Windows soluciona error que borraba los accesos directos a las apps
OneNote, en cambio, permite a los usuarios insertar archivos adjuntos únicamente haciendo doble clic en un botón. De ahí que los ciberdelincuentes hayan desarrollado un botón de señuelo, a fin de engañar a los receptores de estos correos electrónicos y propagar archivos maliciosos.
Concretamente, han colocado cuatro archivos WSF de OneNote con carga maliciosa ocultos bajo un botón superpuesto que los abarca y oculta, que invita a los usuarios a ‘Hacer doble clic para visualizar el archivo’.
Al pulsar sobre cualquier punto de este, el usuario ejecuta uno de estos archivos al azar, es decir, el que se encuentre justo debajo de donde hizo clic. Entonces, el sistema emite una alerta mediante la cual se informa de que se está iniciando un archivo adjunto y que, al hacerlo, existe el riesgo de dañar tanto el equipo como los datos que contiene.
MIRA: Chrome, Firefox y Safari entre las apps con más vulnerabilidades: los reportes aumentaron un 26% en 2022, según análisis
Ante esta alerta de seguridad, que ofrece dos botones (‘Aceptar’ y ‘Cancelar’) la gran mayoría de los usuarios pulsa el primero para continuar con el proceso, sin detenerse a leer lo que menciona dicha notificación, según Bleeping Computer.
Al aceptar esta operación, se inicia el noscript VBS para descargar e instalar malware y este descarga y ejecuta dos archivos desde un servidor remoto. El primero de estos archivos es un documento señuelo, lo que quiere decir que las víctimas lo pueden visualizar como si se tratase de un documento legítimo.
MIRA: VALL-E, la tecnología desarrollada por Microsoft basada en IA que imita voces con grabaciones de tres segundos
Por el contrario, este archivo VBS también ejecuta otro malicioso en segundo plano para instalar malware en el dispositivo. El objetivo de este software malicioso es robar información del dispositivo.
También una vez instalado este malware, los actores de amenazas pueden acceder de forma remota al dispositivo de la víctima para robar archivos, guardar contraseñas del navegador, tomar capturas de pantalla, grabar vídeos utilizando la webcam e, incluso, sustraer activos de criptocarteras.
TE PUEDE INTERESAR
- Tu internet ya es 4G y 5G: ¿qué es el 6G y por qué será tan importante en el futuro?
- Quieres comprarte un iPhone: ¿cuál es el modelo que te puede convenir más?
- Wikipedia renovó el diseño de su interfaz web tras más de 10 años sin cambios
- Así se vería Lima como si fuese un superhéroe y también un villano, según una IA
Contenido Sugerido
Contenido GEC