Programišiai platina kenkėjiškas programas per „Microsoft OneNote“ priedus

„OneNote“ priedai – nauja kibernetinių nusikaltėlių niša

Programišiai nuolat ieško būdų, kaip pasiekti kuo daugiau vartotojų ir išnaudoti įvairias saugumo spragas, kad galėtų skleisti kenkėjiškas programas bei išvilioti jautrią informaciją. Neseniai jie ėmė naudoti dar vieną būdą – „OneNote“ priedus. Tad saugumo specialistai perspėja, jog kompiuterių naudotojai turėtų elgtis ypač atsargiai ir neatidarinėti jokių įtartinų failų, kuriuos gauna į savo el. pašto dėžutes.

„Microsoft OneNote“ yra nemokama skaitmeninių užrašų programa. Ji automatiškai gaunama kartu su „Microsoft Office 2019“ ir „Microsoft 365“. Net jei „Windows“ vartotojas aktyviai nenaudoja šios programos, failo formatas vis tiek gali būti atidarytas, nes pagal numatytuosius nustatymus jis įdiegtas visuose „Microsoft Office/365“ įrenginiuose. Tačiau kibernetinio saugumo tyrinėtojai perspėja, kad kibernetiniai nusikaltėliai nuo gruodžio vidurio siunčia kenkėjiškus el. pašto laiškus^[1], juose prisegdami „OneNote“ priedus^[2].

Šie kenkėjiški el. laiškai pateikiami itin gudriai, kadangi atrodo, lyg juos siųstų puikiai žinoma siuntų kompanija „DHL“. Juose būna pateikti netikri pranešimai apie siuntas, sąskaitos faktūros, ACH perlaidų formos, mechaniniai brėžiniai ir siuntimo dokumentai.

Iš tiesų, kibernetiniai užpuolikai ne vienerius metus platino kenkėjiškas programas el. laiškuose tam pasitelkdami kenkėjiškus „Word“ ir „Excel“ priedus, kurie paleidžia makro kodus kenkėjiškoms programoms atsisiųsti ir įdiegti. Tačiau liepos mėnesį „Microsoft“ pagal numatytuosius nustatymus išjungė makrokomandas „Office“ dokumentuose, todėl šis metodas tapo nepatikimu kenkėjiškų programų platinimui ir hakeriams teko rasti naują būdą pasiekti potencialias aukas.

Dėl to kibernetiniai nusikaltėliai pradėjo naudoti naujus failų formatus, pvz., ISO vaizdus ir slaptažodžiu apsaugotus ZIP failus. Šie failų formatai tapo populiaresni dėl „Windows“ klaidos, kuri leido ISO apeiti saugos įspėjimus, ir dėl to, kad populiarioji „7-Zip“ archyvavimo programa nesugebėjo platinti žiniatinklio žymų į failus, išgautus iš ZIP archyvų. Tačiau tiek „7-Zip“, tiek „Windows“ neseniai ištaisė šias klaidas. Dabar „Windows“ rodo saugos įspėjimus, kai vartotojas bando atidaryti failus, atsisiųstus ISO ir ZIP formatais.

Užkrėsti „OneNote“ failai atsiunčia trojos arklį

„OneNote“, skirtingai nei „Word“ ir „Excel“, nepalaiko makrokomandų, kurias anksčiau aktyviai išnaudojo hakeriai, norėdami paleisti scenarijus, įdiegiančius kenkėjiškas programas. Tačiau „OneNote“ leidžia vartotojams įterpti priedus į bloknotus. O juose tereikia dukart spustelėti priedą ir jis bus sėkmingai paleistas. Kibernetiniai nusikaltėliai naudojasi šia funkcija pridedant kenkėjiškus VBS priedus, kuriuos dukart spustelėjus paleidžiamas scenarijus, atsiunčiantis ir įdiegiantis kenkėjiškas programas iš nuotolinės svetainės.

Tačiau, kadangi „OneNote“ priedai rodomi kaip failo piktograma, kibernetiniai sukčiai juos paslepia, virš įterptų VBS priedų uždėdami didelę „Dukart spustelėkite, kad peržiūrėtumėte failą“ juostą. Kai „Spustelėkite, kad peržiūrėtumėte dokumentą“ juosta pašalinama iš kelio, kenkėjiškame priede pamatomi keli failai. Šioje priedų eilutėje naudotojui dukart spustelėjus bet kurią juostos vietą, priedas iš karto paleidžiamas. Laimei, kai vartotojai paleidžia „OneNote“ priedus, programa juos įspėja, kad tai gali sugadinti kompiuterį ir jų duomenis.

Deja, tokio tipo raginimai dažnai nepaisomi, o vartotojai tiesiog spustelėja „Ok“ mygtuką, kad kuo greičiau pamatytų prisegtus failus. O paspaudus „Ok“ mygtuką, VBS scenarijus pradeda atsisiųsti ir diegti kenkėjiškas programas. Taip „OneNote“ failai įdiegia nuotolinės prieigos trojos arklius^[3], galinčius vogti itin jautrią informaciją.

Jei norite išvengti virusų – laikykitės saugumo rekomendacijų

Įdiegta kenkėjiška programa leidžia kibernetiniams nusikaltėliams nuotoliniu būdu pasiekti aukos įrenginį ir pavogti failus, išsaugotus naršyklės slaptažodžius, ekrano kopijas ir, kai kuriais atvejais, įrašyti vaizdo įrašą naudojant internetines kameras. Be to, kibernetiniai sukčiai dažnai naudoja tokio tipo kenkėjiškas programas, kad pavogtų kriptovaliutų pinigines iš aukų įrenginių, todėl tai tampa brangiai kainuojančia infekcija.

Vengti atidaryti failus iš nežinomų šaltinių yra veiksmingiausias būdas apsisaugoti nuo kenkėjiškų priedų. Jei failą atidarote per klaidą, labai svarbu neignoruoti pateikiamų operacinės sistemos ar saugos programos įspėjimų.

Jei gaunate perspėjimą, kad priedo atidarymas arba nuorodos spustelėjimas gali pakenkti jūsų kompiuteriui ar failams, tiesiog nepaspauskite „OK“ ir išeikite iš programos. Jei įtariate, kad el. laiškas yra teisėtas ir saugus, pirmiausia bendrinkite jį su patikima antivirusine programa arba „Windows“ administratoriumi, kuris gali padėti nustatyti, ar failas yra saugus.