OneNote 惡意軟件

心懷不軌的人在網絡釣魚電子郵件中使用 Microsoft OneNote 附件來傳播惡意軟件。這些不安全的附件包含遠程訪問惡意軟件，可用於安裝其他有害負載或收集密碼。多年來，攻擊者一直通過電子郵件發送武器化的 Word 和 Excel 文檔，這些文檔會啟動宏來下載和安裝惡意軟件。然而，微軟決定自動阻止 MS Office 文檔上的宏，這可能導致黑客轉向濫用 OneNote。現在，他們通過在合法格式文檔中嵌入惡意內容來修改它們，這會在與之交互時觸發惡意軟件的下載/安裝過程。

通過木馬化的 OneNote 文件傳播威脅有效負載

攜帶惡意軟件的 OneNote 文件通常通過垃圾郵件活動以附件或下載鏈接的形式傳播。觀察到以這種方式部署的兩種惡意軟件威脅包括Qakbot銀行木馬和RedLine Stealer 。 Qakbot 以財務相關信息為目標，並可能引發連鎖感染，而 RedLine Stealer 旨在從受感染設備中提取敏感數據。

用於分發這些受感染的 OneNote 文件的垃圾郵件通常是非個人的，只有一些垃圾郵件在其主題行中提到了收件人的姓氏。 OneNote 文件包含嵌入其中的 HTML 應用程序（HTA 文件），單擊該文件後，將利用合法應用程序下載並安裝惡意軟件威脅。應該指出的是，交付的有效載荷可能會根據威脅行為者的具體目標而有所不同。另一個值得注意的事實是，對於感染鏈的開始，用戶必須交互並打開交付的 OneNote 文檔。

處理未知電子郵件和文件時要小心

由於 OneNote 文件能夠嵌入不安全的內容，因此已成為惡意攻擊者的熱門目標，因此用戶必須格外小心。網絡罪犯通常使用社會工程策略來誘騙毫無戒心的受害者點擊嵌入的內容，例如看似從雲存儲下載文件的假按鈕或“雙擊查看文件”。如果成功，這可能會導致任何惡意軟件類型的傳播，具體取決於程序的功能和攻擊者的意圖。因此，用戶必須意識到這些潛在威脅並採取措施保護自己免受這些威脅。