El sustituto digital de los tradicionales recortes de papel o de las agendas son los blocs de notas digitales. En este ámbito resalta la presencia de Microsoft OneNote y su bloc de notas digital, pero ojo, que el avance tecnológico crece a ambos lados, tanto para bien como para mal, y Microsoft OneNote está experimentándolo.
Los malwares o algún tipo de software de tipo maligno cada vez son más extensibles como amenaza informática. Diseñados para dañar cualquier dispositivo o red, los ciberdelincuentes cada vez son más creativos y pueden llegar a pasar desapercibidos.
Muchas son las empresas y organizaciones que son diana de estos ataques. Los malware se ocultan cada vez mejor, eligiendo carpetas o archivos comunes para descargar y con ello infectar nuestros equipos. Ante esto, Proofpoint, empresa líder en ciberseguridad y el cumplimiento normativo, ha alertado de un nuevo virus informático que se está propagando rápidamente.
El bloc de notas de Microsoft OneNote en el ojo de mira
Proofpoint ha notificado que desde el mes de diciembre los malware están siendo propagados mediante la extensión .one que haría alusión al bloc de notas digital de Microsoft OneNote y que tan común es entre los ciudadanos. De esta forma, la facilidad de hacer daño es muy patente, por lo que Proofpoint ya ha avisado.
Con la extensión .one los delincuentes cibernéticos están enviando virus informáticos a todo el mundo. Estos ataques cada vez se están haciendo más comunes y ninguna organización ni empresa ni usuario está fuera de peligro.
Cuando nos llega un archivo de extensión .one con el fin de atacar nuestro sistema informático, encontramos que lo tiene oculto tras un gráfico archivos incrustados. Tras su descarga inocente, el usuario hará doble clic sobre dicho archivo y el dispositivo nos avisará con un mensaje de advertencia y ahí finalizaría el asunto si somos conscientes de esta noticia.
Sin embargo, las prisas o el desconocimiento pueden llevarnos a ignorar esta notificación y hacer clic en continuar. Desde Proofpoint se recuerda que, “para que la infección tenga éxito, el usuario final debe interactuar con el documento OneNote e ignorar las advertencias de que el contenido podría ser malicioso”.
Después de esto el archivo se ejecutará y nuestro sistema estará en peligro. Puede tratarse de diferentes ejecutables, archivos de acceso directo (LNK) o archivos de secuencia de comandos como aplicaciones HTML (HTA) o archivos de secuencia de comandos de Windows (WSF).
El desarrollo de los ciberdelincuentes
La evolución de estos ataques cibernéticos es más que evidente. En diciembre se contabilizaron seis campañas para distribuir AsyncRAT, la herramienta de administración para controlar los equipos de forma remota, mientras que en enero de 2023 ya se han observado más de 50 campañas con la intención de repartir siete tipos diferentes de payload como Redline, AgentTesla, Quasar RAT, XWorm, Netwire, DOUBLEBACK y Qbot.
Esta amplia lista de payloads nos hace ver que son muchos los grupos de delincuentes cibernéticos que están operando por todo el mundo con OneNote. De ellos, solo ha sido identificado uno, el llamado TA577, pero el resto de momento es una incógnita.
Las campañas analizadas han dado muestras de los parecidos que presentan, y es que, aunque los asuntos de los mensajes y los remitentes varían y es habitual que no empleen hilos de conversación, casi todas emplean los mismos mensajes para compartir el malware y el contenido de los emails suelen ser de temas comunes como los negocios, facturas, impuestos o envíos.
Proofpoint ha informado que la investigación que están llevando a cabo ha revelado que estos grupos están intentando eludir creativamente las detecciones de los antivirus existentes. Y es que los proveedores de antivirus aún no han dado con la fórmula de detectar este malware y por el momento la única forma de enfrentarlos es formar y preparar a los usuarios sobre esta técnica, del mismo modo que ven necesaria la denuncia de estos correos electrónicos y los archivos que van adjuntos en ellos.
Créditos: Sergio Delgado
