OneNote 恶意软件

心怀不轨的人在网络钓鱼电子邮件中使用 Microsoft OneNote 附件来传播恶意软件。这些不安全的附件包含远程访问恶意软件，可用于安装其他有害负载或收集密码。多年来，攻击者一直通过电子邮件发送武器化的 Word 和 Excel 文档，这些文档会启动宏来下载和安装恶意软件。然而，微软决定自动阻止 MS Office 文档上的宏，这可能导致黑客转向滥用 OneNote。现在，他们通过在合法格式文档中嵌入恶意内容来修改它们，这会在与之交互时触发恶意软件的下载/安装过程。

通过木马化的 OneNote 文件传播威胁有效负载

携带恶意软件的 OneNote 文件通常通过垃圾邮件活动以附件或下载链接的形式传播。观察到以这种方式部署的两种恶意软件威胁包括Qakbot银行木马和RedLine Stealer 。 Qakbot 以财务相关信息为目标，并可能引发连锁感染，而 RedLine Stealer 旨在从受感染设备中提取敏感数据。

用于分发这些受感染的 OneNote 文件的垃圾邮件通常是非个人的，只有一些垃圾邮件在其主题行中提到了收件人的姓氏。 OneNote 文件包含嵌入其中的 HTML 应用程序（HTA 文件），单击该文件后，将利用合法应用程序下载并安装恶意软件威胁。应该指出的是，交付的有效载荷可能会根据威胁行为者的具体目标而有所不同。另一个值得注意的事实是，对于感染链的开始，用户必须交互并打开交付的 OneNote 文档。

处理未知电子邮件和文件时要小心

由于 OneNote 文件能够嵌入不安全的内容，因此已成为恶意攻击者的热门目标，因此用户必须格外小心。网络罪犯通常使用社会工程策略来诱骗毫无戒心的受害者点击嵌入的内容，例如看似从云存储下载文件的假按钮或“双击查看文件”。如果成功，这可能会导致任何恶意软件类型的传播，具体取决于程序的功能和攻击者的意图。因此，用户必须意识到这些潜在威胁并采取措施保护自己免受这些威胁。