Onderzoekers waarschuwen dat cybercriminelen Microsoft OneNote attachments in phishing mails misbruiken voor malwareverspreiding en datadiefstal.
De tactiek is niet nieuw. Malware wordt al jaren verspreid met kwaadaardige Word- en Excel-bijlagen. Vaak openen de bestanden macro’s om payloads te downloaden en trojans te installeren.
In juli van dit jaar schakelde Microsoft macro’s standaard uit in Office-documenten, waardoor de effectiviteit van de tactiek terugliep. Als gevolg begonnen cybercriminelen nieuwe bestandssoorten te gebruiken, waaronder ISO-afbeeldingen en ZIP-archieven.
De bestandssoorten wonnen snel aan populariteit. Microsoft tackelde het probleem door Windows-waarschuwingen af te geven wanneer ISO- en ZIP-bestanden verdacht gedrag vertonen. Nu stappen sommige cybercriminelen over op een nieuwe bestandssoort: Microsoft OneNote attachments.
Opletten
Onderzoekers waarschuwen dat cybercriminelen kwaadaardige OneNote attachments vermommen als DHL-berichten, facturen, blauwdrukken en verzendingsdocumenten.
In sommige gevallen voeren de attachments een VBS-script uit dat malware van een externe site downloadt en installeert. De malware, een remote access trojan (RAT), stelt aanvallers in staat om systemen te beheren en data te stelen.
De tactiek is tegen te gaan door geen bestanden van niet-vertrouwde afzenders te openen. Eindgebruikers die per ongeluk bestanden openen doen er goed aan om eventuele security alerts serieus te nemen.
Tip: In gesprek met ethische hacker; wat is het en hoe word je het?