OneNote-malware

Kwaadaardige acteurs gebruiken Microsoft OneNote-bijlagen in phishing-e-mails om malware te verspreiden. Deze onveilige bijlagen bevatten malware voor externe toegang die kan worden gebruikt om extra schadelijke payloads te installeren of wachtwoorden te verzamelen. Al jaren sturen aanvallers bewapende Word- en Excel-documenten via e-mail, die macro's starten om de malware te downloaden en te installeren. Het besluit van Microsoft om automatisch macro's op MS Office-documenten te blokkeren, heeft er echter waarschijnlijk toe geleid dat de hackers zijn overgestapt op het misbruiken van OneNote. Nu wijzigen ze documenten in een legitiem formaat door ze in te sluiten met kwaadaardige inhoud, die het download- en installatieproces van de malware activeert wanneer er interactie mee is.

Bedreigende payloads worden verspreid via getrojaniseerde OneNote-bestanden

De OneNote-bestanden die malware bevatten, worden gewoonlijk verspreid via spamcampagnes, als bijlagen of via downloadlinks. Twee van de malwarebedreigingen waarvan is vastgesteld dat ze op deze manier worden ingezet, zijn de Qakbot-banktrojan en de RedLine Stealer . Qakbot richt zich op financiële informatie en kan kettinginfecties veroorzaken, terwijl de RedLine Stealer is ontworpen om gevoelige gegevens van geïnfecteerde apparaten te extraheren.

De spam-e-mails die worden gebruikt om deze gecompromitteerde OneNote-bestanden te verspreiden, zijn over het algemeen onpersoonlijk, waarbij slechts enkele van de spam-e-mails de achternaam van de ontvanger in hun onderwerpregel vermelden. De OneNote-bestanden bevatten een ingesloten HTML-toepassing (HTA-bestand) die, wanneer erop wordt geklikt, een legitieme toepassing zou gebruiken om de malwarebedreiging te downloaden en te installeren. Er moet op worden gewezen dat de geleverde payload kan variëren op basis van de specifieke doelen van de bedreigingsactoren. Een ander opmerkelijk feit is dat gebruikers, om de infectieketen te laten beginnen, interactie moeten hebben en de geleverde OneNote-documenten moeten openen.

Wees voorzichtig bij het omgaan met onbekende e-mails en bestanden

Aangezien OneNote-bestanden een populair doelwit zijn geworden voor kwaadwillende acteurs vanwege hun vermogen om te worden ingesloten met onveilige inhoud, moeten gebruikers extra voorzichtig zijn. Cybercriminelen gebruiken meestal social engineering-tactieken om nietsvermoedende slachtoffers te misleiden zodat ze op de ingesloten inhoud klikken, zoals nepknoppen die het bestand lijken te downloaden van cloudopslag of 'Dubbelklik om bestand te bekijken'. Als dit lukt, kan dit leiden tot de verspreiding van elk type malware, afhankelijk van de mogelijkheden van het programma en de intenties van de aanvallers. Daarom moeten gebruikers zich bewust zijn van deze potentiële bedreigingen en stappen ondernemen om zich ertegen te beschermen.