Aggiornamenti recenti Luglio 1st, 2025 3:44 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- In aumento i cyberattacchi dall’Iran: l’allarme delle agenzie di sicurezza americane
- Una vulnerabilità di Open VSX Registry mette in pericolo milioni di sviluppatori
- Le stampanti multifunzione sono piene di bug! Uno espone la password di admin e Brother fa il record
- L’Iran lancia un attacco di spear-phishing contro obiettivi israeliani
- Windows 10: ancora un anno di aggiornamenti (quasi) gratis
File OneNote per distribuire malware: individuate decine di campagne attive
I ricercatori di Proofpoint hanno individuato diverse campagne che utilizzano OneNote di Microsoft per distribuire malware. Il periodo tra dicembre 2022 e gennaio 2023 ha registrato un importante aumento di attacchi che utilizzavano i file .one per diffondere codice malevolo, condivisi come allegati di email o tramite URL.
Le campagne hanno colpito gli utenti di Europa e Nordamerica e sono state opera di diversi gruppi di cybercriminali. A gennaio se ne sono registrate più di 50, contro le 6 individuate a dicembre scorso. A dicembre le campagne utilizzavano i file per distribuire il malware AsyncRat, mentre a gennaio i ricercatori hanno individuato i payload di diversi malware, tra i quali Redline, AgentTesla e DOUBLEBACK.
In particolare, ProofPoint ha scoperto che il broker di accesso TA577 ha cominciato a usare i file .one per distribuire il malware Qbot. Il target comprendeva una moltitudine di mittenti e soggetti appartenenti a diverse organizzazioni.
Gli attaccanti hanno evoluto le proprie tecniche per aggirare i controlli degli antivirus, inserendo malware in tipologie di file finora poco usate, come l’HTML compilato, i dischi rigidi virtuali e ora anche i documenti OneNote.
Attenzione ai file OneNote sospetti
Come spiegano i ricercatori, l’infezione ha successo solo se l’utente interagisce col documento, ignorando gli alert sulla pericolosità del contenuto. In futuro, spiega ProofPoint, sempre più attaccanti potrebbero decidere di utilizzare metodi simili per diffondere i payload malevoli.
Le campagne osservate dai ricercatori sono piuttosto simili tra loro: gli attacchi sfruttano messaggi unici e non thread hijacking, e gli oggetti delle email spaziano tra fatture, spedizioni o bonus natalizi e di inizio anno. Quando l’utente apre il file gli viene comunicato che il documento potrebbe essere dannoso; se l’avviso viene ignorato, il file viene eseguito. Il documento può a sua volta essere composto da diversi tipi di eseguibili, script Windows, script HTML o file di collegamento.
Le previsioni dei ricercatori di ProofPoint parlano di un aumento degli attacchi nei prossimi mesi; per questo, ancora una volta, è importante fare attenzione a messaggi sospetti e a documenti non attendibili.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
In aumento i cyberattacchi dall’Iran: l’allarme... In un documento congiunto rilasciato ieri, la CISA,... -
Una vulnerabilità di Open VSX Registry mette in pericolo... I ricercatori di Koi Security hanno individuato una... -
Le stampanti multifunzione sono piene di bug! Uno espone la... Durante un processo di analisi di vulnerabilità zero-day,... -
L’Iran lancia un attacco di spear-phishing contro... I ricercatori di Check Point Research hanno individuato una... -
Windows 10: ancora un anno di aggiornamenti (quasi) gratis Il 14 ottobre il supporto tecnico e di sicurezza per...
Ransomware: la serie
No posts found.