详细内容或原文请订阅后点击阅览
OneNote 嵌入式 URL 滥用
当微软修复 OneNote 中的嵌入文件功能时,我决定滥用另一个功能。嵌入的 URL。事实证明,这也是他们可能必须修复的问题。
来源:NVISO Labs _恶意软件在我之前的博文中,我描述了 OneNote 是如何被滥用来传递恶意 URL 的。为了应对此次攻击,helpnetsecurity 最近报道称,微软计划在今年 4 月发布针对该问题的修复程序。目前,尚不清楚修复程序将是什么样子,但从 helpnetsecurity 的帖子来看,微软的修复程序似乎将集中在 OneNote 嵌入文件功能上。在我的测试过程中,我发现还有另一种滥用 OneNote 来传递恶意软件的方法:使用 URL。这个想法类似于威胁行为者已经在 HTML 页面或 PDF 中滥用 URL 的方式。用户会看到一个虚假的警告或图像,点击后会在浏览器中打开 URL 并加载钓鱼页面。
上一篇博文 helpnetsecurity 最近报告 使用 URL这篇博文的重点将放在通过附件传送的 OneNote 文件中的 URL。 而不是指向 OneNote 在线的 URL。
有 3 种方法可以通过 OneNote 文件传送 URL。
- 只需将您的 URL 粘贴到 OneNote 文件中(可点击的 URL)使用恶意 URL 使某些文本(如“打开”)可点击(可点击的文本)将 URL 嵌入图片中(可点击的图片)
现在需要注意的是,这 3 种方式依赖于社会工程学并诱骗用户点击您的 URL 或图片,无论是通过说明还是欺骗用户。我们已经看到这种技术已通过 OneDrive 和 SharePoint 在线使用所以,让我们创建一些示例并看看这种攻击是什么样子。
OneNote 中的 URL
可点击的 URL
如果您想阅读 OneNote 文件中的消息,则必须单击该 URL。这可能会导致下载恶意文件或凭据收集页面。此类“加密”消息的示例可能是:
可点击的文本
g00gle[.]com
google[.]com
CTRL
CTRL
http