Microsoft OneNote駭客惡意攻擊新寵 揭密最佳防範手法

編譯/鄭智懷

資安專家發現,在微軟(Microsoft)陸續阻止Microsoft Word 和 Excel巨集檔案的自動下載,以及設置ISO和Zip檔案的開啟警告後,駭客在2022年12月中旬開始把目光轉移至Microsoft OneNote檔案,利用其散播惡意軟體或破壞受害者設備。

Microsoft OneNote駭客惡意攻擊新寵 揭密最佳防範手法。示意圖/123RF

根據網路媒體BleepingComputer報導,駭客會創設一個以副檔名為「.one」的附件檔案,並將其偽裝成受保護、內含「雙擊以瀏覽文件」(Double Click to View File)消息的文件。實際上,該消息下方已經設置一系列的隱藏惡意檔案。

雖然在雙擊偽造訊息下方的隱藏惡意檔案後,系統仍會跳出警示,但是就如過去的網路釣魚攻擊案例一樣,栽在此次攻擊手法的受害者會忽視警告,允許惡意檔案執行,導致進一步的網路攻擊行動,譬如部分案例曾遭BlackBasta等勒索軟體攻擊。

專家建議,如同過去應對Microsoft Office巨集下載等網路釣魚攻擊手法,最根本的解決之道是留意並拒絕打開可疑的副檔名檔案。在本次攻擊手法中,就是切勿打開副檔名為「.one」的檔案。

然而,基於各種因素考量,用戶也可以使用微軟提供的Microsoft 365/Microsoft Office管理工具,設定在Microsoft OneNote中開啟隱藏的惡意檔案。

在該工具中,用戶可以開啟「禁用內嵌檔案」(Disable embedded files),以及「封鎖內嵌檔案延伸」(Embedded Files Blocked Extensions)兩項功能,防止惡意程式侵害。前者較為嚴格,禁止用戶打開任何Microsoft OneNote檔案中的內嵌檔案,後者則允許用戶打開信任名單中的內嵌檔案。

專家指出,若用戶選擇「封鎖內嵌檔案延伸」(Embedded Files Blocked Extensions),而非更嚴格的「禁用內嵌檔案」功能,建議將副檔名為「.js」、「.exe」、「.com」、「.cmd」、.scr」、「.ps1」、.vbs」與「.lnk」的檔案列入不信任名單之中。值得注意的是,攻擊者可能會利用新的副檔名檔案,散播惡意軟體,因此並非注意上述副檔名檔案就可安然無憂。

資料來源:BleepingComputer

瀏覽 845 次

覺得不錯的話就分享出去吧!

發佈留言

Back to top button