Bilgisayar Korsanları Kötü Amaçlı Yazılım Saldırıları İçin OneNote Eklerinden Yararlanıyor

Bilgisayar korsanları, kimlik avı e-postalarına OneNote eklerini kullanarak kötü amaçlı yazılım yükleyip parolalara yetkisiz erişim elde ediyor.

Tehdit aktörleri, Microsoft tarafından son dönemde sık sık yapılan OneNote güncellemelerinden faydalanıyor. Kullanıcıyı gereksiz e-postalara çift tıklamaları için kandırarak  otomatik  bir komut dosyası çalıştırılıp kullanıcının bilgisayarına kötü amaçlı yazılım yükleniyor.

OneNote, Microsoft 365 paketinin en popüler programlarından biri ve şu anda şirket tarafından üzerinde sürekli olarak güncelleme yapılıyor. Ancak, ürüne sık sık yapılan beta testleri nedeniylebilgisayar korsanları kimlik avı tabanlı kötü amaçlı yazılım saldırıları yaparak güvenlik açıklarından yararlandı.

Microsoft, korsanların kötü amaçlı yazılımları dağıtmak için Excel ve Word dosyalarını kullanmasını engellemek için Office uygulamalarındaki makro özelliğini kaldırmıştı. Ayrıca, Microsoft bu işlevi kısıtladığı için, kullanıcılar ZIP ve ISO dosyalarını bir dizi güvenlik uyarısından geçmeden açamamaktaydılar. Bilgisayar korsanları, kötü amaçlı yazılım yaymalarına olanak tanıyan makro yasağını aşmak için yöntemler keşfetti. Böyelikle kimlik avı e-postaları, artık sahte faturalar, teslimat onayları veya uyarılar gibi çeşitli sahte ekler içeriyordu.

Gelen e-postada bulanık bir görsel üzerinde “Dosyayı Görüntülemek İçin Çift Tıklayın” yazıyordu. Tıklandığında “Visual Basic” komut dosyası başlatılıyor ve truva atı da içerebilen kötü amaçlı yazılım yüklemek için uzak sunucuyla bağlantı kuruluyor. Dosya, Microsoft’un “Visual Basic” programlama dilindeki güvenlik açıklarından yararlanmak için tasarlanmıştı.

Bu faaliyet genellikle yasa dışı kullanıcı erişimiyle ilişkilendirildiğinden Microsoft, kendi ağında kripto para madenciliğini durdurmuştu. Bu sayede, bulut hizmetlerinin bozulmasında ve kesintiye uğramasında önemli bir azalma olmuştu.

Uzmanlar OneNote kullanıcılarının uygulama tarafından yapılan uyarıları dikkate almaları ve mümkün olan her yerde çok faktörlü kimlik doğrulama, antivirüs ve güvenlik duvarları kullanmalarını önermekte. Buna ek olarak bilinmeyen e-posta bağlantılarından gelen ekleri indirmemeleri de çok önemlidir.