MADRID, 23 Ene. (Portaltic/EP) -

Investigadores descubrieron una exclusiva campaña maliciosa que distribuye 'software malicioso' a través de el envío de e-mails con supuestos ficheros de Microsoft OneNote adjuntos, que de todos modos son servicios que instalan 'programa' malicioso en background en los gadgets.

Microsoft OneNote es una app gratis, que se utiliza para tomar notas, catalogar informaicón y la colaboración multiusuario y que está incluida tanto en el bulto de Microsoft Office 2019 como en Microsoft 365.

Un conjunto de estudiosos de la compañía de ciberseguridad Trustwave advirtieron en la época de diciembre del pasado año una campaña sospechosa de ser fraudulenta, ya que incluía en un mail un fichero terminado en .one.

Debido a que hablamos de una extensión poco frecuente en esta interfaz de correo, los investigadores lo estudiaron y concluyeron que se desplegaba un botón con el que se invitaba al usuario a conocer un archivo.

Desde BleepingComputer recuerdan que, en contraste a otros programas de Microsoft, como Word o Excel, OneNote no acepta macros, o sea, una secuencia de normas que se guardan en el sistema a fin de que se logren realizar de manera secuencial a través de una única orden de ejecución.

OneNote, en cambio, deja a los individuos insertar ficheros adjuntos únicamente realizando doble click en un botón. De ahí que los ciberdelincuentes hayan creado un botón de señuelo, a fin de mentir a los receptores de estos mails y extender ficheros maliciosos.

Concretamente, han puesto 4 ficheros WSF de OneNote con carga maliciosa ocultos bajo un botón superpuesto que los comprende y esconde, que invita a los individuos a 'Realizar doble click para ver el fichero'.

Al apretar sobre cualquier punto de este, el usuario ejecuta uno de estos ficheros a la suerte, o sea, el que esté justo bajo donde logró click. Entonces, el sistema emite una alarma a través de la que se comunica de que se está empezando un fichero adjunto y que, al llevarlo a cabo, existe el peligro de dañar tanto el aparato como los datos que tiene dentro.

Ante esta alarma de seguridad, que proporciona 2 botones ('Admitir' y 'Anular') la enorme mayoría de los individuos aprieta el primero para proseguir con el desarrollo, sin detenerse a leer lo que relata esa notificación, según Bleeping Computer.

Al admitir esta operación, comienza el script VBS para bajar y también disponer 'software malicioso' y este descarga y ejecuta 2 ficheros desde un servidor recóndito. El primero de estos ficheros es un archivo señuelo, lo que significa que las víctimas tienen la posibilidad de ver tal y como si se tratara de un archivo legítimo.

Por el opuesto, este fichero VBS asimismo ejecuta otro malicioso en background para disponer 'software malicioso' en el dispositivo. El propósito de este 'programa' malicioso es hurtar información del dispositivo.

También una vez instalado este 'software malicioso', los actores de amenazas tienen la posibilidad de entrar de manera recóndita al dispositivo de la víctima para hurtar ficheros, almacenar claves de acceso del navegador, tomar screenshots, grabar vídeos usando la cámara web y también, aun, substraer activos de criptocarteras.