OneNote превратился в OneSteal — как фишеры обманывают даже бдительных пользователей

Фишинговая кампания, направленная на пользователей из Италии и США, привлекла внимание исследователей благодаря необычайной изощрённости и стойкости. Атака, раскрытая специалистами ANY.RUN, маскируется под привычный интерфейс Microsoft OneNote и нацелена на кражу учётных данных от Office 365, Outlook, Rackspace, Aruba Mail и даже PEC — итальянской системы сертифицированной электронной почты. Всё это происходит на фоне имитации абсолютно легитимного документооборота, что значительно усложняет её обнаружение традиционными средствами защиты.

Злоумышленники запускают атаку через фишинговые письма с темами вроде «New Document Shared with you». В письме содержится ссылка на якобы официальный документ в OneNote, но на деле пользователь попадает на фальшивую страницу авторизации. Чтобы усилить достоверность, такие страницы размещаются на вполне уважаемых платформах — от Notion и Glitch до Google Docs и RenderForest. Дополнительную правдоподобность придаёт наличие нескольких опций входа — от стандартного Office365 до малоизвестных провайдеров.

Исследователи подчёркивают, что атака ориентирована в первую очередь на итальянских пользователей. Это подтверждается не только итальянским языком в интерфейсе, но и использованием субдоменов с итальянскими словами. Судя по собранным данным, операция ведётся с января 2022 года и всё это время модернизируется.

Основу атаки составляет сложный JavaScript-код, встроенный в фальшивые страницы входа. Он собирает логины, пароли и IP-адреса жертв. Для последнего используется ipify.org — публичный API, позволяющий точно зафиксировать сетевые параметры устройства. После сбора информации данные автоматически отправляются через Telegram-ботов , в коде прописаны токены и chat ID для взаимодействия с Telegram API. Были зафиксированы различные конфигурации ботов, включая «Sultanna», «remaxx24» и «Resultant».

После кражи учётных данных пользователь перенаправляется на настоящую страницу входа Microsoft OneNote, создавая у него иллюзию, что ничего подозрительного не произошло. Такой приём помогает сохранить доверие и снижает вероятность быстрой реакции жертвы.

Технический арсенал фишеров постоянно эволюционирует. Изначально для сокрытия данных использовалась простая URL-обфускация и формы на сайтах. С февраля 2022 года произошёл переход на Telegram как основной канал эксфильтрации, с вложенными уровнями кодирования URL — от двух до четырёх.

В 2024 году злоумышленники тестировали кодирование в Base64, но затем отказались от него по неясным причинам. Интересно, что, несмотря на сложность атаки, злоумышленники избегают продвинутых техник сокрытия, что может указывать либо на ограниченные ресурсы, либо на концентрацию усилий именно на продаже доступа, а не на развитии вредоносного ПО.

Для противодействия атакам специалисты рекомендуют мониторить сетевую активность, связанную с Telegram API, особенно с учётом известных токенов и структурных связок между Notion, Glitch и Telegram. Также стоит внедрять сигнатурный анализ по активности Telegram-ботов внутри корпоративных сетей.

Особую тревогу вызывает факт, что в атаке затрагиваются адреса PEC — официальной сертифицированной почты в Италии. Это может означать, что цели злоумышленников выходят далеко за рамки банальной кражи логинов и включают элементы компрометации деловой переписки и продажу доступа в теневых киберструктурах.