Af Eskil Sørensen, 31/01/23
Trusselsaktører er begyndt at bruge OneNote-vedhæftede filer i phishing-e-mails, der kan inficere med malware. En malware, der vel at mærke kan give fjernadgang, og som kan bruges til at installere mere malware, stjæle adgangskoder eller kryptowallets.
Det skriver Bleeping Computer.
Det har været kendt længe, at angribere har distribueret malware i e-mails ved hjælp af vedhæftede Word- og Excel- filer, der kan starte makroer mhp. at downloade og installere malware. Denne mulighed lukkede Microsoft for i juli sidste år, da makroer som standard blev deaktiveret i Office-dokumenter. Det betød, at metoden ikke længere var pålidelig nok til distribution af malware.
Trusselsaktører tog derfor nye filformater i anvendelse, fx password-beskyttede ZIP-filer, bl.a. fordi arkivværktøjet ikke udsender de sikkerhedsadvarsler, der er kendt som ’mark-of-the-web’ til filer udtrukket fra ZIP-arkiver. Men det er også blevet rettet for nyligt, og det har tvunget trusselsaktører til et nyt filformat i deres ondsindede spam (malspam) vedhæftede filer: Microsoft OneNote vedhæftede filer.
Gratis notesbog, gratis distributionskanal
OneNote er en desktop digital notesbog-applikation, der kan downloades gratis og er inkluderet i Microsoft Office 2019 og Microsoft 365. Den er installeret som standard i alle Microsoft Office/365-installationer, og selvom en Windows-bruger ikke bruger applikationen, er den stadig tilgængelig til at åbne filformatet.
Første advarsel om denne nye metode kom i midten af december, hvor Trustwave SpiderLabs advarede om, at trusselsaktører var begyndt at distribuere ondsindede e-mails indeholdende OneNote-vedhæftede filer. Ifølge Bleeping Computer foregiver disse e-mails at være mails fra forskellige kommercielle leverandører – altså phishing som vi kender det fra alle mulige andre kanaler og formater.
Sådan foregår distribution af malware via Onenote.
Links: